检测

Scientific Linux 安全更新:SL5.x、SL6.x i386/x86_64 中的 thunderbird

critical Nessus 插件 ID 61306

语言:

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

Mozilla Thunderbird 是独立的邮件和新闻组客户端。

已在由 Thunderbird 用于防止畸形 OpenType 字体中的潜在利用的 Sanitiser for OpenType (OTS) 中发现一个缺陷。
恶意内容可导致 Thunderbird 崩溃,或者在某些条件下可能以运行 Thunderbird 的用户的权限执行任意代码。(CVE-2011-3062)

恶意内容可导致 Thunderbird 崩溃,或可能以运行 Thunderbird 的用户的权限执行任意代码。(CVE-2012-0467、CVE-2012-0468、CVE-2012-0469)

包含恶意可缩放矢量图形 (SVG) 图像文件的内容可导致 Thunderbird 崩溃,或者可能以运行 Thunderbird 的用户的权限执行任意代码。
(CVE-2012-0470)

在 Thunderbird 使用其嵌入式 Cairo 库来渲染某些字体的方式中发现一个缺陷。恶意内容可导致 Thunderbird 崩溃,或者在某些条件下可能以运行 Thunderbird 的用户的权限执行任意代码。
(CVE-2012-0472)

在 Thunderbird 使用 WebGL 渲染某些图像的方式中发现一个缺陷。恶意内容可导致 Thunderbird 崩溃,或者在某些条件下可能以运行 Thunderbird 的用户的权限执行任意代码。(CVE-2012-0478)

在 Thunderbird 处理特定多字节字符集的方式中发现一个跨站脚本 (XSS) 缺陷。恶意内容可导致 Thunderbird 以其他内容的权限运行 JavaScript 代码。(CVE-2012-0471)

在 Thunderbird 使用 WebGL 渲染某些图形的方式中发现一个缺陷。恶意内容可导致 Thunderbird 崩溃。
(CVE-2012-0473)

Thunderbird 中内置 feed 源阅读器中的一个缺陷允许 Website 字段显示与用户要访问的内容不同的内容的地址。攻击者可利用此缺陷来隐藏恶意 URL,从而可能诱骗用户相信其正在查看受信任的站点,或者允许从攻击者的站点加载脚本,继而可能导致跨站脚本 (XSS) 攻击。(CVE-2012-0474)

在 Thunderbird 解码 ISO-2022-KR 和 ISO-2022-CN 字符集的方式中发现一个缺陷。恶意内容可导致 Thunderbird 以其他内容的权限运行 JavaScript 代码。
(CVE-2012-0477)

在 Thunderbird 中的内置 feed 源阅读器处理 RSS 和 Atom 源的方式中发现一个缺陷。通过 HTTPS 加载的无效 RSS 或 Atom 内容导致 Thunderbird 显示上述内容的地址,而不是这些内容。之前的内容会继续显示。当页面实际上是由攻击者控制的内容时,攻击者可利用此缺陷来执行钓鱼攻击,或者诱骗用户认为访问由 Website 字段报告的站点。
(CVE-2012-0479)

注意:特别构建的 HTML 邮件消息无法利用除 CVE-2012-0470、CVE-2012-0472 和 CVE-2011-3062 以外的所有问题,因为邮件消息默认已禁用 JavaScript。可在 Thunderbird 中以其他方式利用此问题,例如查看 RSS 源的完整远程内容时。

解决方案

更新受影响的 thunderbird 和/或 thunderbird-debuginfo 程序包。

另见

http://www.nessus.org/u?3a8c06f3

插件详情

严重性: Critical

ID: 61306

文件名: sl_20120424_thunderbird_on_SL5_x.nasl

版本: 1.10

类型: local

代理: unix

发布时间: 2012/8/1

最近更新时间: 2021/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 8.8

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:fermilab:scientific_linux:thunderbird, p-cpe:/a:fermilab:scientific_linux:thunderbird-debuginfo, x-cpe:/o:fermilab:scientific_linux

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/4/24

漏洞发布日期: 2012/3/30

参考资料信息

CVE: CVE-2011-3062, CVE-2012-0467, CVE-2012-0469, CVE-2012-0470, CVE-2012-0471, CVE-2012-0472, CVE-2012-0473, CVE-2012-0474, CVE-2012-0477, CVE-2012-0478, CVE-2012-0479