Amazon Linux 2：thunderbird (ALAS-2023-1945)

high Nessus 插件 ID 171825

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 thunderbird 版本低于 68.10.0-1。因此，它受到 ALAS2-2023-1945 公告中提及的多个漏洞影响。

- 由于对 JavaScript 对象上的 ValueTag 感到困惑，对象可能会通过类型屏障，从而导致内存损坏和潜在可利用的崩溃。*注意：此问题仅影响 ARM64 平台上的 Firefox。* 此漏洞会影响 Firefox ESR < 68.10、Firefox < 78 和 Thunderbird < 68.10.0。(CVE-2020-12417)

- 操纵 URL 对象的个别部分可能造成越界读取，从而将进程内存泄漏给恶意 JavaScript。此漏洞会影响 Firefox ESR < 68.10、Firefox < 78 和 Thunderbird < 68.10.0。(CVE-2020-12418)

- 处理在父进程窗口刷新期间发生的回调时，相关窗口可能会终止；导致释放后使用条件。这可能导致内存损坏和潜在的可利用崩溃。此漏洞会影响 Firefox ESR < 68.10、Firefox < 78 和 Thunderbird < 68.10.0。(CVE-2020-12419)

- 尝试连接到 STUN 服务器时，争用条件可能导致指针的释放后使用，从而导致内存损坏和潜在可利用的崩溃。此漏洞会影响 Firefox ESR < 68.10、Firefox < 78 和 Thunderbird < 68.10.0。(CVE-2020-12420)

- 执行附加组件更新时，以非内建 root 终止的证书链会被拒绝（即使由管理员合法添加）。这可导致附加组件在未通知用户的情况下静默过期。此漏洞会影响 Firefox ESR < 68.10、Firefox < 78 和 Thunderbird < 68.10.0。(CVE-2020-12421)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。