Oracle Linux 4：thunderbird (ELSA-2008-0105)

high Nessus 插件 ID 67649

语言：

简介

远程 Oracle Linux 主机缺少安全更新。

描述

来自 Red Hat 安全公告 2008:0105：

更新后的 thunderbird 程序包修复了多个安全问题，现在可用于 Red Hat Enterprise Linux 4 和 5。

Red Hat 安全响应团队将此更新评级为具有严重安全影响。

[2008 年 2 月 27 日更新] 勘误表文本已更新，包括这些勘误表程序包已修复但在发布时尚未公开的其他问题的详细信息。未对程序包进行更改。

Mozilla Thunderbird 是独立的邮件和新闻组客户端。

在 Thunderbird 处理 external-body 多用途 Internet 消息扩展 (MIME) 类型消息的方式中发现一个基于堆的缓冲区溢出缺陷。包含恶意内容的 HTML 邮件消息可造成 Thunderbird 以运行 Thunderbird 的用户的身份执行任意代码。(CVE-2008-0304)

在 Thunderbird 处理某些畸形 HTML 邮件内容的方式中发现多个缺陷。包含恶意内容的 HTML 邮件消息可导致 Thunderbird 崩溃，或者可能以运行 Thunderbird 的用户的身份执行任意代码。（CVE-2008-0412、CVE-2008-0413、CVE-2008-0415、CVE-2008-0419）

在 Thunderbird 显示畸形 HTML 邮件内容的方式中发现多个缺陷。包含特别构建的内容的 HTML 邮件可能诱骗用户泄露敏感信息。
（CVE-2008-0420、CVE-2008-0591、CVE-2008-0593）

在 Thunderbird 处理某些 chrome URL 的方式中发现一个缺陷。
如果用户已安装某些扩展，这可能导致恶意 HTML 邮件窃取敏感会话数据。注意：此缺陷不会影响 Thunderbird 的默认安装。(CVE-2008-0418)

注意：默认情况下禁用 Thunderbird 中的 JavaScript 支持；只有启用 JavaScript 才能利用上述问题。

在 Thunderbird 保存某些文本文件的方式中发现一个缺陷。如果远程站点提供“plain/text”类型而不是“text/plain”类型的文件，Thunderbird 不会将未来的“text/plain”内容显示给用户，从而强制用户将这些文件保存在本地以便查看内容。(CVE-2008-0592)

建议 thunderbird 用户升级这些更新后的程序包，其中包含用于解决这些问题的向后移植的修补程序。