openSUSE 安全性更新:MozillaThunderbird (MozillaThunderbird-4070)

critical Nessus Plugin ID 53774

Synopsis

遠端 openSUSE 主機缺少安全性更新。

描述

MozillaThunderbird 已更新至 3.1.8 版,修正了數個安全性問題。

下列安全性問題已修正:MFSA 2011-01:Mozilla 開發人員在用於 Firefox 和其他以 Mozilla 為基礎之產品的瀏覽器引擎中識別出多個記憶體安全性錯誤,且已修正。某些錯誤顯示,記憶體在特定情況下會遭到損毀,我們推測若有心人士有意操控,可至少惡意利用其中部分錯誤執行任意程式碼。

Jesse Ruderman、Igor Bukanov、Olli Pettay、Gary Kwong、Jeff Walden、 Henry Sivonen、Martijn Wargers、David Baron 及 Marcia Knous 報告了記憶體安全問題,這些問題會影響 Firefox 3.6 和 Firefox 3.5。
(CVE-2011-0053)

Igor Bukanov 和 Gary Kwong 報告了記憶體安全性問題,受影響的只有 Firefox 3.6。(CVE-2011-0062)

MFSA 2011-08 / CVE-2010-1585:Mozilla 安全性開發人員 Roberto Suggi Liverani 報告稱,若內嵌的文件為 chrome 文件,ParanoidFragmentSink (用來清理顯示的潛在不安全 HTML 之類別) 允許 javascript: URL 和其他內嵌 JavaScript。
雖然所有發行的產品中皆不存在此類別的不安全使用方式,但延伸模組程式碼能以不安全的方式加以使用。

MFSA 2011-09 / CVE-2011-0061:安全性研究人員 Jordi Chancel 報告稱,攻擊者可建構會錯誤解碼的 JPEG 影像,進而造成在超出建立用來儲存該影像的緩衝區結尾處寫入資料。攻擊者可能會特製這類影像,該影像會造成惡意程式碼儲存在記憶體中,然後在受害者的電腦上執行。

解決方案

更新受影響的 MozillaThunderbird 套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=667155

Plugin 詳細資訊

嚴重性: Critical

ID: 53774

檔案名稱: suse_11_2_MozillaThunderbird-110302.nasl

版本: 1.7

類型: local

代理程式: unix

已發布: 2011/5/5

已更新: 2021/1/14

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:MozillaThunderbird, p-cpe:/a:novell:opensuse:MozillaThunderbird-devel, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-common, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, cpe:/o:novell:opensuse:11.2

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

修補程式發佈日期: 2011/3/2

參考資訊

CVE: CVE-2010-1585, CVE-2011-0051, CVE-2011-0053, CVE-2011-0054, CVE-2011-0055, CVE-2011-0056, CVE-2011-0057, CVE-2011-0058, CVE-2011-0059, CVE-2011-0061, CVE-2011-0062