Slackware Linux 15.0 / 当前 mozilla-thunderbird 多个漏洞 (SSA:2023-326-01)

high Nessus 插件 ID 186183

语言：

简介

远程 Slackware Linux 主机缺少 mozilla-thunderbird 的安全更新。

描述

远程主机上安装的 mozilla-thunderbird 版本低于 115.5.0。因此，该应用程序受到 SSA:2023-326-01 公告中提及的多个漏洞的影响。

- 在某些系统上，根据图形设置和驱动程序，可能会存在强制越界读取以及内存数据被泄漏到在画布元素上创建的图像中。此漏洞会影响 Firefox < 120、Firefox ESR < 115.5.0 和 Thunderbird < 115.5。(CVE-2023-6204)

- 可能会导致 MessagePort 在释放后被使用，这可能会导致可利用的崩溃。此漏洞会影响 Firefox < 120、Firefox ESR < 115.5.0 和 Thunderbird < 115.5。(CVE-2023-6205)

- 退出全屏时的黑色淡出动画大约是权限提示上的防点击劫持延迟的长度。利用这一事实，攻击者可以诱使用户单击权限授予按钮即将出现的位置来让用户感到意外。此漏洞会影响 Firefox < 120、Firefox ESR < 115.5.0 和 Thunderbird < 115.5。(CVE-2023-6206)

- 所有权管理不善导致 ReadableByteStreams 中存在释放后使用漏洞。此漏洞会影响 Firefox < 120、Firefox ESR < 115.5.0 和 Thunderbird < 115.5。(CVE-2023-6207)

- 使用 X11 时，页面使用 Selection API 选择的文本被错误地复制到主要选择中，这是与剪贴板不同的临时存储。*此错误仅影响 X11 版本的 Firefox。其他系统不受影响。*该漏洞影响 Firefox < 120、Firefox ESR < 115.5.0 和 Thunderbird < 115.5。(CVE-2023-6208)

- 以三个斜线开头的相对 URL 被错误地解析，并且路径中的 path-traversal /../ 部分可用于覆盖指定主机。这可能会导致网站出现安全问题。此漏洞会影响 Firefox < 120、Firefox ESR < 115.5.0 和 Thunderbird < 115.5。
(CVE-2023-6209)

- 在 Firefox 119、Firefox ESR 115.4 和 Thunderbird 115.4 中修复了内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox < 120、Firefox ESR < 115.5.0 和 Thunderbird < 115.5。(CVE-2023-6212)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。