插件

最近更新时间

插件系列介绍

指标

风险暴露指标

链接

Tenable 社区与支持

设置

严重性

主题

检测

插件

最近更新时间

插件系列介绍

指标

风险暴露指标

Thunderbird 10.x < 10.0.12 多种漏洞 (Mac OS X)

critical Nessus 插件 ID 63546

语言：

简介

远程 Mac OS X 主机包含可能受到多个漏洞影响的邮件客户端。

描述

安装的 Thunderbird 10.x 版本可能受到以下安全问题的影响：

- TURKTRUST 证书颁发机构不正确地颁发两个中间证书。(CVE-2013-0743)

- 显示包含多列和列群组的 HTML 表时，存在相关的释放后使用错误。
(CVE-2013-0744)

- 存在与“jsval”、“quickstubs”和隔离舱不匹配相关的错误，可能导致可被利用的崩溃。(CVE-2013-0746)

- 与 XBL 对象的“toString”方法相关的错误可导致地址信息泄漏。
(CVE-2013-0748)

- 存在与 JavaScript 字符串连接有关的缓冲区溢出。(CVE-2013-0750)

- 存在与“XMLSerializer”和“serializeToStream”有关的释放后使用错误。
(CVE-2013-0753)

- 存在与垃圾回收和“ListenManager”有关的释放后使用错误。(CVE-2013-0754)

- 与 SVG 元素和插件有关的错误可允许权限升级。(CVE-2013-0758)

- 存在涉及地址栏的错误，可允许 URL 欺骗攻击。(CVE-2013-0759)

- 存在多个不明的释放后使用、越界读取和缓冲区溢出错误。（CVE-2013-0762、CVE-2013-0766、CVE-2013-0767）

- 存在不明的内存损坏问题。
(CVE-2013-0769)

请注意，自 2013 年 2 月 13 日起，将不再支持 10.x ESR 分支。在此日期后，只有 17.x ESR 分支会收到安全更新。

解决方案

升级到 Thunderbird 10.0.12 ESR 或更高版本。

另见

http://www.zerodayinitiative.com/advisories/ZDI-13-003/

http://www.zerodayinitiative.com/advisories/ZDI-13-006/

http://www.zerodayinitiative.com/advisories/ZDI-13-039/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-01/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-02/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-04/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-05/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-09/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-11/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-12/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-15/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-16/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-17/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-20/

插件详情

严重性: Critical

ID: 63546

文件名: macosx_thunderbird_10_0_12.nasl

版本: 1.19

类型: local

代理: macosx

系列: MacOS X Local Security Checks

发布时间: 2013/1/15

最近更新时间: 2019/12/4

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.5

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2013-0769

漏洞信息

CPE: cpe:/a:mozilla:thunderbird

必需的 KB 项: MacOSX/Thunderbird/Installed

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/1/8

漏洞发布日期: 2013/1/8

可利用的方式

Core Impact

Metasploit (Firefox 17.0.1 Flash Privileged Code Injection)

参考资料信息

CVE: CVE-2013-0744, CVE-2013-0746, CVE-2013-0748, CVE-2013-0750, CVE-2013-0753, CVE-2013-0754, CVE-2013-0758, CVE-2013-0759, CVE-2013-0762, CVE-2013-0766, CVE-2013-0767, CVE-2013-0769

BID: 57193, 57194, 57195, 57203, 57209, 57217, 57218, 57228, 57232, 57234, 57235, 57238, 57258

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990