检测

Ubuntu 10.04 LTS / 11.10 / 12.04 LTS:thunderbird 漏洞 (USN-1463-4)

critical Nessus 插件 ID 59654

语言:

简介

远程 Ubuntu 主机缺少与安全相关的修补程序。

描述

USN-1463-1 修复了 Firefox 中的漏洞。此更新提供用于 Thunderbird 的相应补丁。

Jesse Ruderman、Igor Bukanov、Bill McCloskey、Christian Holler、Andrew McCreight、Olli Pettay、Boris Zbarsky 和 Brian Bondy 发现了影响 Firefox 的内存安全问题。如果用户受到诱骗打开特别构建的页面,攻击者可能利用这些问题通过应用程序崩溃造成拒绝服务,或可能以调用 Firefox 的用户权限执行代码。(CVE-2012-1937、CVE-2012-1938)

已发现 Mozilla 的 WebGL 实现在某些 NVIDIA 图形驱动程序中暴露了一个缺陷。此问题的影响目前尚未显现。
(CVE-2011-3101)

Adam Barth 发现内容安全策略 (CSP) 的内联脚本阻止功能未能正确阻止特定内联事件处理程序。依赖 CSP 的此功能防御跨站脚本 (XSS) 的 Web 应用程序不再受到充分的保护。
由于存在跨站脚本漏洞,如果用户受到诱骗查看特别构建的页面,则远程攻击者可利用此问题在同一域中修改内容或窃取机密数据。(CVE-2012-1944)

Paul Stone 发现 Windows 或 Samba 共享上托管的所查看的 HTML 页面可加载同一个共享中的 Windows 快捷方式文件 (.lnk)。这些快捷方式文件随后可链接到加载该 HTML 页面的个人的本地文件系统上的任意位置。攻击者可能利用此漏洞在 iframe 中显示链接的这些文件或目录的内容,从而造成信息泄露。(CVE-2012-1945)

Arthur Gerkis 发现在文档中替换/插入节点时存在释放后使用漏洞。如果用户受到诱骗打开特别构建的页面,攻击者可能利用此问题通过应用程序崩溃造成拒绝服务,或可能以调用 Firefox 的用户的权限执行代码。
(CVE-2012-1946)

Kaspar Brand 发现在网络安全服务 (NSS) ASN.1 解码器处理零长度项目的方式中存在漏洞。如果用户受到诱骗打开特别构建的页面,攻击者可能利用此漏洞,通过应用程序崩溃造成拒绝服务。
(CVE-2012-0441)

Abhishek Arya 发现了两个缓冲区溢出和一个释放后使用漏洞。如果用户受到诱骗打开特别构建的页面,攻击者可能利用这些问题通过应用程序崩溃造成拒绝服务,或可能以调用 Firefox 的用户权限执行代码。(CVE-2012-1940、CVE-2012-1941、CVE-2012-1947)。

解决方案

更新受影响的 thunderbird 程序包。

另见

https://usn.ubuntu.com/1463-4/

插件详情

严重性: Critical

ID: 59654

文件名: ubuntu_USN-1463-4.nasl

版本: 1.11

类型: local

代理: unix

发布时间: 2012/6/22

最近更新时间: 2019/9/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:canonical:ubuntu_linux:thunderbird, cpe:/o:canonical:ubuntu_linux:10.04:-:lts, cpe:/o:canonical:ubuntu_linux:11.10, cpe:/o:canonical:ubuntu_linux:12.04:-:lts

必需的 KB 项: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

易利用性: No known exploits are available

补丁发布日期: 2012/6/21

漏洞发布日期: 2012/5/15

参考资料信息

CVE: CVE-2011-3101, CVE-2012-0441, CVE-2012-1937, CVE-2012-1938, CVE-2012-1940, CVE-2012-1941, CVE-2012-1944, CVE-2012-1945, CVE-2012-1946, CVE-2012-1947

BID: 53540, 53791, 53792, 53793, 53794, 53796, 53798, 53799, 53800, 53801

USN: 1463-4