Ubuntu 10.04 LTS / 11.10 / 12.04 LTS / 12.10:thunderbird 漏洞 (USN-1791-1)
critical Nessus 插件 ID 65867
语言:
简介
远程 Ubuntu 主机缺少与安全相关的修补程序。描述
Olli Pettay、Jesse Ruderman、Boris Zbarsky、Christian Holler、Milan Sreckovic 和 Joe Drew 发现影响 Thunderbird 的多个内存安全问题。如果用户受到诱骗在启用脚本的情况下打开特别构建的消息,攻击者就可能利用这些漏洞通过使应用程序崩溃来造成拒绝服务,或者可能以调用 Thunderbird 的用户的权限执行代码。(CVE-2013-0788)Ambroz Bizjak 发现,当解码特定证书时,网络安全服务 (NSS) 库的 CERT_DecodeCertPackage 函数中存在越界数组读取。攻击者可能利用此漏洞通过应用程序崩溃而造成拒绝服务。(CVE-2013-0791)
Mariusz Mlynski 发现可通过定时历史记录导航,使用地址栏显示的错误 URL 加载任意网站。如果脚本已启用,攻击者可利用此问题执行跨站脚本 (XSS) 或钓鱼攻击。
(CVE-2013-0793)
Cody Crews 发现,可使用 cloneNode 方法绕过仅系统封装程序 (SOW),以复制受保护的节点并绕过同源策略检查。如果用户已经启用了脚本,则攻击者可能利用此漏洞窃取机密数据,或者以调用 Thunderbird 的用户的权限来执行代码。
(CVE-2013-0795)
在 Thunderbird 中发现 WebGL 渲染崩溃。如果启用了脚本,攻击者可能利用此漏洞以调用 Thunderbird 的用户的权限执行代码。该问题仅影响具有 Intel 图形驱动程序的用户。(CVE-2013-0796)
Abhishek Arya 发现,在 Cairo 图形库中存在越界写入。攻击者可能利用此漏洞以调用 Thunderbird 的用户的权限执行代码。(CVE-2013-0800)。
解决方案
更新受影响的 thunderbird 程序包。另见
插件详情
严重性: Critical
ID: 65867
文件名: ubuntu_USN-1791-1.nasl
版本: 1.11
类型: local
代理: unix
发布时间: 2013/4/9
最近更新时间: 2019/9/19
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:canonical:ubuntu_linux:thunderbird, cpe:/o:canonical:ubuntu_linux:10.04:-:lts, cpe:/o:canonical:ubuntu_linux:11.10, cpe:/o:canonical:ubuntu_linux:12.04:-:lts, cpe:/o:canonical:ubuntu_linux:12.10
必需的 KB 项: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
易利用性: No known exploits are available
补丁发布日期: 2013/4/8
漏洞发布日期: 2013/4/3
参考资料信息
CVE: CVE-2013-0788, CVE-2013-0791, CVE-2013-0793, CVE-2013-0795, CVE-2013-0796, CVE-2013-0800
BID: 58819, 58825, 58826, 58831, 58836, 58837
USN: 1791-1