Thunderbird < 24.2 多种漏洞 (Mac OS X)

critical Nessus 插件 ID 71345

简介

远程 Mac OS X 主机包含可能受多种漏洞影响的邮件客户端。

描述

安装的 Thunderbird 版本低于 24.2,因此可能受到以下漏洞的影响:

- 浏览器引擎存在内存问题,可能导致拒绝服务或执行任意代码。(CVE-2013-5609、CVE-2013-5610)

- 用于合成鼠标移动处理的函数中存在两个释放后使用漏洞。
(CVE-2013-5613)

- 在观察到的类型集之外可生成“GetElementIC”键入的数组存根的情况中存在问题。此问题可导致不可预测的行为,并具有潜在的安全影响。(CVE-2013-5615)

- 在与 mListeners 数组中的事件监听器互动时存在一个释放后使用漏洞。此漏洞可导致拒绝服务或任意代码的执行。(CVE-2013-5616)

- 在垃圾回收期间,编辑器的表编辑用户界面存在一个释放后使用漏洞。此漏洞可导致拒绝服务或任意代码的执行。(CVE-2013-5618)

-“libjpeg”库中使用 Start Of Scan (SOS) 和 Define Huffman Table (DHT) 标记的 JPEG 格式图像处理存在问题。这可允许攻击者读取任意内存内容以及跨域窃取图像。(CVE-2013-6629、CVE-2013-6630)

- 在通过脚本将排序的列表插入文档时存在内存问题,可导致拒绝服务或任意代码执行。
(CVE-2013-6671)

- 在扩展验证 (EV) 证书验证期间,用于内置根证书的信任设置被忽略。此缺陷导致用户无法对来自特定颁发机构的证书手动取消信任。(CVE-2013-6673)

- 中间人 (MITM) 流量管理设备使用的中间证书存在于 Mozilla 的根证书颁发机构。据报告,此证书已被误用。

解决方案

升级到 Thunderbird 24.2 或更高版本。

另见

https://www.mozilla.org/en-US/security/advisories/mfsa2013-104/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-108/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-109/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-111/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-113/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-114/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-115/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-116/

https://www.mozilla.org/en-US/security/advisories/mfsa2013-117/

插件详情

严重性: Critical

ID: 71345

文件名: macosx_thunderbird_24_2.nasl

版本: 1.10

类型: local

代理: macosx

发布时间: 2013/12/11

最近更新时间: 2019/11/27

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2013-5618

漏洞信息

CPE: cpe:/a:mozilla:thunderbird

必需的 KB 项: MacOSX/Thunderbird/Installed

易利用性: No known exploits are available

补丁发布日期: 2013/12/10

漏洞发布日期: 2013/12/10

参考资料信息

CVE: CVE-2013-5609, CVE-2013-5610, CVE-2013-5613, CVE-2013-5615, CVE-2013-5616, CVE-2013-5618, CVE-2013-6629, CVE-2013-6630, CVE-2013-6671, CVE-2013-6673

BID: 63676, 63679, 64203, 64204, 64206, 64209, 64211, 64212, 64213, 64216