Amazon Linux 2：thunderbird (ALAS-2022-1818)

critical Nessus 插件 ID 163228

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 thunderbird 版本低于 91.6.0-1。因此，如公告 ALAS2-2022-1818 所述，受到多个漏洞的影响。

- crossbeam-deque 是工作窃取双端队列程序包，用于在 Rust 中编程时构建任务计划程序。在 0.7.4 和 0.8.0 之前的版本中，争用条件的结果是工作队列中的一个或多个任务可以弹出两次，而不是弹出其他被遗忘且从未弹出的任务。如果在堆上分配任务，此漏洞可造成双重释放和内存泄漏。如果没有出现这些问题，此漏洞仍会导致逻辑错误。使用 `Stealer: : steal`、`Stealer: : steal_batch` 或 `Stealer: : steal_batch_and_pop` 的 Crates 受到此问题的影响。此问题已在 crossbeam-deque 0.8.1 和 0.7.4 中修复。(CVE-2021-32810)

- 在 MessageTasks 上操作期间，任务可能还在计划阶段就被删除，这将造成内存损坏并可能引发被恶意利用的崩溃问题。此漏洞会影响 Thunderbird < 78.15、Thunderbird < 91.2、Firefox ESR < 91.2、Firefox ESR < 78.15 以及 Firefox < 93。(CVE-2021-38496)

- 通过使用 reportValidity() 和 window.open()，可将纯文本验证消息覆盖在其他原始数据上，因此可能造成用户混淆和伪造攻击。此漏洞会影响版本低于 91.2 的 Firefox ESR、版本低于 93 的 Firefox 和版本低于 91.2 的 Thunderbird。(CVE-2021-38497)

- 在进程关闭期间，特定文档可导致语言服务对象释放后使用，进而造成内存损坏和潜在可利用的崩溃。此漏洞会影响版本低于 91.2 的 Firefox ESR、版本低于 93 的 Firefox 和版本低于 91.2 的 Thunderbird。(CVE-2021-38498)

- Mozilla 开发人员报告 Firefox 92 和 Firefox ESR 91.1 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Thunderbird < 78.15、Thunderbird < 91.2、Firefox ESR < 91.2、Firefox ESR < 78.15 以及 Firefox < 93。(CVE-2021-38500)

- Mozilla 开发人员报告 Firefox 92 和 Firefox ESR 91.1 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响版本低于 91.2 的 Firefox ESR、版本低于 93 的 Firefox 和版本低于 91.2 的 Thunderbird。(CVE-2021-38501)

- Thunderbird 忽略了 SMTP 连接需要 STARTTLS 安全性的配置。MITM 可执行降级攻击以拦截传输的消息，或可控制经过身份验证的会话以执行 MITM 所选的 SMTP 命令。如果配置了不受保护的身份验证方法，MITM 也可以获取身份验证凭据。此漏洞影响 Thunderbird < 91.2。(CVE-2021-38502)

- Mozilla：使用 XSLT 绕过 iframe 沙盒 (CVE-2021-4140)

- Mozilla：播放音频文件时存在争用条件 (CVE-2022-22737)

- Mozilla：BlendGaussianBlur 中存在堆缓冲区溢出问题 (CVE-2022-22738)

- Mozilla：未限制外部协议启动对话框 (CVE-2022-22739)

- Mozilla：ChannelEventQueue: : mOwner 中存在释放后使用问题 (CVE-2022-22740)

- Mozilla：使用全屏模式伪造浏览器窗口 (CVE-2022-22741)

- Mozilla：在编辑模式下插入文本时存在越界内存访问问题 (CVE-2022-22742)

- 在请求全屏访问的同时从 iframe 内部导航时，攻击者控制的选项卡可能使浏览器无法退出全屏模式。(CVE-2022-22743)

- Mozilla：通过 securitypolicyviolation 事件泄露跨源 URL (CVE-2022-22745)

- Mozilla：处理空 pkcs7 序列时发生崩溃 (CVE-2022-22747)

- Mozilla：外部协议启动对话框中存在伪来源 (CVE-2022-22748)

- Mozilla：在 Firefox 96 和 Firefox ESR 91.5 中修复了内存安全缺陷 (CVE-2022-22751)

- 如果用户安装了特定类型的扩展程序，该扩展程序可能会自我更新，同时绕过授予新版本请求权限的提示。
(CVE-2022-22754)

- 如果已经说服用户将图像拖放到其桌面或其他文件夹，则生成的对象可能已更改为可执行脚本，而该脚本会在用户点击后运行任意代码。(CVE-2022-22756)

- 如果文档创建了一个不含 <code>allow-scripts</code> 的沙盒 iframe，随后将一个元素附加到 iframe 的文档（例如包含 JavaScript 事件处理程序），则尽管已经存在 iframe 沙盒，事件处理程序也会运行。(CVE-2022-22759)

- 使用 Web 工作线程导入资源时，错误消息会区分 <code>application/javascript</code> 响应和非脚本响应之间的差异。这可能被滥用于了解信息跨源。(CVE-2022-22760)

- 在 Web 扩展程序的内容安全策略中使用 Web 可访问的扩展页面（带有 moz-extension: // scheme 的页面）时，未正确强制执行 frame-ancestors 指令。
(CVE-2022-22761)

- 当工作线程关闭时，可能导致脚本在生命周期后期某个本不应运行的时间点运行。(CVE-2022-22763)

- Mozilla 开发人员和社区成员 Paul Adenot 及 Mozilla Fuzzing 团队报告 Thunderbird 91.5 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2022-22764)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。