Ubuntu 12.04 LTS / 12.10 / 13.04 / 13.10:thunderbird 漏洞 (USN-2053-1)
critical Nessus 插件 ID 71375
语言:
简介
远程 Ubuntu 主机缺少与安全相关的修补程序。描述
Ben Turner、Bobby Holley、Jesse Ruderman 和 Christian Holler 在 Thunderbird 中发现多种内存安全问题。如果用户受到诱骗打开启用了脚本的特别构建消息,则攻击者可能利用这些漏洞通过使应用程序崩溃来造成拒绝服务,或者以调用 Thunderbird 的用户的权限来执行任意代码。(CVE-2013-5609)Tyson Smith 和 Jesse Schwartzentruber 在事件监听器中发现释放后使用。如果用户已启用脚本,则攻击者可能利用此漏洞,通过使应用程序崩溃造成拒绝服务,或以调用 Thunderbird 的用户的权限来执行任意代码。(CVE-2013-5616)
在表格编辑界面中发现释放后使用。攻击者可能利用此漏洞通过造成应用程序崩溃造成拒绝服务,或以调用 Thunderbird 的用户权限执行任意代码。(CVE-2013-5618)
Tyson Smith 和 Jesse Schwartzentruber 发现在使用脚本将排序后的列表插入文档中时发生崩溃。如果用户已启用脚本,则攻击者便可能利用此漏洞,以调用 Thunderbird 的用户的权限执行任意代码。(CVE-2013-6671)
Sijie Xia 发现在某些情况下,内置的 EV 根证书的信任设置被忽略,使用户无法对来自特定颁发机构的证书手动取消信任。(CVE-2013-6673)
Tyson Smith、Jesse Schwartzentruber 和 Atte Kettunen 在用于合成鼠标移动处理的函数中发现释放后使用。如果用户已启用脚本,则攻击者可能利用此漏洞,通过使应用程序崩溃造成拒绝服务,或以调用 Thunderbird 的用户的权限来执行任意代码。
(CVE-2013-5613)
Eric Faust 发现可在观察到的类型集之外生成 GetElementIC 键入的数组存根。如果用户已启用脚本,则攻击者可能利用此问题造成具有潜在安全影响的未定义的行为。(CVE-2013-5615)
Michal Zalewski 发现 JPEG 图像处理存在多个问题。攻击者可能利用这些问题获取敏感信息。(CVE-2013-6629、CVE-2013-6630)。
解决方案
更新受影响的 thunderbird 程序包。另见
插件详情
严重性: Critical
ID: 71375
文件名: ubuntu_USN-2053-1.nasl
版本: 1.10
类型: local
代理: unix
发布时间: 2013/12/12
最近更新时间: 2019/9/19
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: High
分数: 7.3
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:canonical:ubuntu_linux:thunderbird, cpe:/o:canonical:ubuntu_linux:12.04:-:lts, cpe:/o:canonical:ubuntu_linux:12.10, cpe:/o:canonical:ubuntu_linux:13.04, cpe:/o:canonical:ubuntu_linux:13.10
必需的 KB 项: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2013/12/11
漏洞发布日期: 2013/11/18
参考资料信息
CVE: CVE-2013-5609, CVE-2013-5613, CVE-2013-5615, CVE-2013-5616, CVE-2013-5618, CVE-2013-6629, CVE-2013-6630, CVE-2013-6671, CVE-2013-6673
BID: 64203, 64204, 64209, 64211, 64216
USN: 2053-1