Mozilla Thunderbird < 31.7 多种漏洞
critical Nessus 插件 ID 83464
语言:
简介
远程 Windows 主机包含受多种漏洞影响的邮件客户端。描述
远程 Windows 主机上安装的 Thunderbird 版本低于 31.7。因此,它受到以下漏洞的影响:- 由于无法验证监听器进程的身份,在进程间通信协议 (IPC) 实现中存在权限升级漏洞。(CVE-2011-3079)
- 浏览器引擎中存在多种内存损坏问题。远程攻击者可利用这些问题破坏内存并执行任意代码。
(CVE-2015-2708)
- 渲染与特定 CSS 属性结合的 SVG 图形时,由于未正确验证用户提供的输入,导致 SVGTextFrame.cpp 中存在缓冲区溢出情况。远程攻击者可以利用此漏洞造成基于堆的缓冲区溢出,从而导致执行任意代码。(CVE-2015-2710)
- 启用垂直文本后,由于未正确处理文本,存在一个释放后使用错误。远程攻击者可利用此缺陷取消引用已释放的内存。
(CVE-2015-2713)
- 处理压缩的 XML 内容时,由于未正确验证用户提供的输入,xmlparse.c 的 XML_GetBuffer() 函数中存在缓冲区溢出情况。攻击者可利用此漏洞造成缓冲区溢出,从而导致执行任意代码。(CVE-2015-2716)
解决方案
升级到 Thunderbird 31.7 或更高版本。另见
https://www.mozilla.org/en-US/security/advisories/mfsa2015-46/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-48/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-51/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-54/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-57/
插件详情
严重性: Critical
ID: 83464
文件名: mozilla_thunderbird_31_7.nasl
版本: 1.8
类型: local
代理: windows
系列: Windows
发布时间: 2015/5/14
最近更新时间: 2018/7/16
支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C
时间矢量: E:U/RL:OF/RC:C
漏洞信息
CPE: cpe:/a:mozilla:thunderbird
必需的 KB 项: Mozilla/Thunderbird/Version
易利用性: No known exploits are available
补丁发布日期: 2015/5/12
漏洞发布日期: 2012/4/30
参考资料信息
CVE: CVE-2011-3079, CVE-2015-2708, CVE-2015-2710, CVE-2015-2713, CVE-2015-2716