Thunderbird 10.0.x < 10.0.4 多种漏洞 (Mac OS X)

high Nessus 插件 ID 58895

简介

远程 Mac OS X 主机包含可能受到多个漏洞影响的邮件客户端。

描述

安装的 Thunderbird 10.0.x 版本可能受到以下安全问题的影响:

-“OpenType Sanitizer”中存在一个可导致越界读取并可能造成代码执行的差一错误。(CVE-2011-3062)

- 存在可导致任意代码执行的内存安全问题。(CVE-2012-0467)

- 存在一个与“indexedDB”的“IDBKeyRange”有关的释放后使用错误。(CVE-2012-0469)

- 存在与“gfxImageSurface”相关的可能导致代码执行的堆损坏错误。(CVE-2012-0470)

- 存在一个多八进制数编码问题,可允许跨站脚本攻击,因为多字节字符集中的某些八进制数可破坏后续八进制数。
(CVE-2012-0471)

-“WebGLBuffer”中存在一个可导致读取非法视频内存的错误。(CVE-2012-0473)

- 一个不明错误可允许 URL 栏欺骗。
(CVE-2012-0474)

- 存在一个与“'ISO-2022-KR”和“ISO-2022-CN”字符集相关的可导致跨站脚本攻击的解码问题。(CVE-2012-0477)
- 存在一个与“WebGL”和“texImage2D”相关的错误,在普通对象上使用“JSVAL_TO_OBJECT”时,该错误可导致应用程序崩溃并可能允许代码执行。(CVE-2012-0478)

- 通过 HTTPS 加载了“Atom XML”或“RSS”数据时可能发生导致钓鱼攻击的地址栏欺骗。(CVE-2012-0479)

解决方案

升级到 Thunderbird 10.0.4 ESR 或更高版本。

另见

https://www.mozilla.org/en-US/security/advisories/mfsa2012-20/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-22/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-23/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-24/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-26/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-27/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-29/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-30/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-31/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-33/

插件详情

严重性: High

ID: 58895

文件名: macosx_thunderbird_10_0_4.nasl

版本: 1.14

类型: local

代理: macosx

发布时间: 2012/4/27

最近更新时间: 2018/7/16

支持的传感器: Nessus Agent

风险信息

VPR

风险因素: High

分数: 8.8

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 8.1

矢量: AV:N/AC:M/Au:N/C:C/I:C/A:C

时间矢量: E:H/RL:OF/RC:C

漏洞信息

CPE: cpe:/a:mozilla:thunderbird

必需的 KB 项: MacOSX/Thunderbird/Installed

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/4/24

漏洞发布日期: 2012/4/24

参考资料信息

CVE: CVE-2011-3062, CVE-2012-0467, CVE-2012-0469, CVE-2012-0470, CVE-2012-0471, CVE-2012-0473, CVE-2012-0474, CVE-2012-0477, CVE-2012-0478, CVE-2012-0479

BID: 53219, 53220, 53222, 53223, 53224, 53225, 53227, 53228, 53229, 53231

CWE: 20, 74, 79, 442, 629, 711, 712, 722, 725, 750, 751, 800, 801, 809, 811, 864, 900, 928, 931, 990