GLSA-202312-03：Mozilla Thunderbird：多个漏洞

critical Nessus 插件 ID 187118

语言：

描述

远程主机受到 GLSA-202312-03 中所述漏洞的影响（Mozilla Thunderbird：多个漏洞）

- 在多种情况下，浏览器提示可能被受内容控制的弹出窗口遮蔽。这些技术有可能导致用户混淆或欺骗攻击。此漏洞会影响 Firefox < 113、Firefox ESR < 102.11 和 Thunderbird < 102.11。(CVE-2023-32205)

- 越界读取可导致 RLBox Expat 驱动程序崩溃。此漏洞会影响 Firefox < 113、Firefox ESR < 102.11 和 Thunderbird < 102.11。(CVE-2023-32206)

- 弹出通知中缺少延迟，攻击者可能借此诱骗用户授予权限。此漏洞会影响 Firefox < 113、Firefox ESR < 102.11 和 Thunderbird < 102.11。(CVE-2023-32207)

- 类型检查缺陷可导致编译无效的代码。此漏洞会影响 Firefox < 113、Firefox ESR < 102.11 和 Thunderbird < 102.11。(CVE-2023-32211)

- 攻击者可放置 <code>datalist</code> 元素以隐藏地址栏。此漏洞会影响 Firefox < 113、Firefox ESR < 102.11 和 Thunderbird < 102.11。(CVE-2023-32212)

- 读取文件时，未初始化的值可能被用作读取限制。此漏洞会影响 Firefox < 113、Firefox ESR < 102.11 和 Thunderbird < 102.11。(CVE-2023-32213)

- 协议处理程序“ms-cxh”和“ms-cxh-full”可被用于触发拒绝服务。
*注意：此攻击仅影响 Windows。其他操作系统不受影响。*该漏洞影响 Firefox < 113、Firefox ESR < 102.11 和 Thunderbird < 102.11。(CVE-2023-32214)

- Firefox 112 和 Firefox ESR 102.10 中存在内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox < 113、Firefox ESR < 102.11 和 Thunderbird < 102.11。
(CVE-2023-32215)

- TLS 证书无效的站点错误页面缺少用于保护提示和权限对话框不被人工响应时间延迟攻击的激活延迟 Firefox 用例。如果恶意页面在导航到错误证书的站点之前立即引起用户点击，并同时导致渲染器极为忙碌，错误页面加载和显示内容实际刷新之间则可能产生时间间隔。如果时机恰当，引发的点击可落在此时间间隔内，并激活可覆盖该站点证书错误的按钮。
此漏洞会影响 Firefox ESR < 102.12、Firefox < 114 和 Thunderbird < 102.12。(CVE-2023-34414)

- 在 Firefox 113、Firefox ESR 102.11 和 Thunderbird 102.12 中修复了内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox ESR < 102.12、Firefox < 114 和 Thunderbird < 102.12。(CVE-2023-34416)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

所有 Mozilla Thunderbird 用户均应升级到最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=mail-client/thunderbird-bin-102.12 所有 Mozilla Thunderbird 用户均应升级至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=mail-client/thunderbird-102.12