Mozilla Thunderbird 10.0.x < 10.0.4 多种漏洞

high Nessus 插件 ID 58899
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Windows 主机包含可能受多个漏洞影响的电子邮件客户端。

描述

安装的 Thunderbird 10.0.x 版本可能受到以下安全问题的影响:

-“OpenType Sanitizer”中存在一个可导致越界读取并可能造成代码执行的差一错误。(CVE-2011-3062)

- 存在可导致任意代码执行的内存安全问题。(CVE-2012-0467)

- 存在一个与“indexedDB”的“IDBKeyRange”有关的释放后使用错误。(CVE-2012-0469)

- 存在与“gfxImageSurface”相关的可能导致代码执行的堆损坏错误。(CVE-2012-0470)

- 存在一个可允许跨站脚本攻击的多八进制编码问题,因为多字节字符集中的某些八进制可破坏后续八进制。
(CVE-2012-0471)

- 存在与通过“cairo-dwrite”进行字体渲染相关的错误,可造成内存损坏,从而导致崩溃并可能导致代码执行。(CVE-2012-0472)

-“WebGLBuffer”中存在一个可导致读取非法视频内存的错误。(CVE-2012-0473)

- 一个不明错误可允许 URL 栏欺骗。
(CVE-2012-0474)

- 存在一个与“'ISO-2022-KR”和“ISO-2022-CN”字符集相关的可导致跨站脚本攻击的解码问题。(CVE-2012-0477) - 存在一个与“WebGL”和“texImage2D”相关的错误,在普通对象上使用“JSVAL_TO_OBJECT”时,该错误可导致应用程序崩溃并可能允许代码执行。(CVE-2012-0478)

- 通过 HTTPS 加载了“Atom XML”或“RSS”数据时可能发生导致钓鱼攻击的地址栏欺骗。(CVE-2012-0479)

解决方案

升级到 Thunderbird 10.0.4 ESR 或更高版本。

另见

https://www.mozilla.org/en-US/security/advisories/mfsa2012-20/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-22/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-23/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-24/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-25/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-26/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-27/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-29/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-30/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-31/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-33/

插件详情

严重性: High

ID: 58899

文件名: mozilla_thunderbird_1004.nasl

版本: 1.15

类型: local

代理: windows

系列: Windows

发布时间: 2012/4/27

最近更新时间: 2018/7/17

依存关系: mozilla_org_installed.nasl

风险信息

VPR

风险因素: High

分数: 8.8

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 8.1

矢量: AV:N/AC:M/Au:N/C:C/I:C/A:C

时间矢量: E:H/RL:OF/RC:C

漏洞信息

CPE: cpe:/a:mozilla:thunderbird

必需的 KB 项: Mozilla/Thunderbird/Version

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/4/24

漏洞发布日期: 2012/4/24

参考资料信息

CVE: CVE-2011-3062, CVE-2012-0467, CVE-2012-0469, CVE-2012-0470, CVE-2012-0471, CVE-2012-0472, CVE-2012-0473, CVE-2012-0474, CVE-2012-0477, CVE-2012-0478, CVE-2012-0479

BID: 53218, 53219, 53220, 53222, 53223, 53224, 53225, 53227, 53228, 53229, 53231

CWE: 20, 74, 79, 442, 629, 711, 712, 722, 725, 750, 751, 800, 801, 809, 811, 864, 900, 928, 931, 990