openSUSE 安全性更新:MozillaThunderbird (MozillaThunderbird-4070)

critical Nessus Plugin ID 53774
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 openSUSE 主機缺少安全性更新。

描述

MozillaThunderbird 已更新至 3.1.8 版,修正了數個安全性問題。

下列安全性問題已修正:MFSA 2011-01:Mozilla 開發人員在用於 Firefox 和其他以 Mozilla 為基礎之產品的瀏覽器引擎中識別出多個記憶體安全性錯誤,且已修正。某些錯誤顯示,記憶體在特定情況下會遭到損毀,我們推測若有心人士有意操控,可至少惡意利用其中部分錯誤執行任意程式碼。

Jesse Ruderman、Igor Bukanov、Olli Pettay、Gary Kwong、Jeff Walden、 Henry Sivonen、Martijn Wargers、David Baron 及 Marcia Knous 報告了記憶體安全問題,這些問題會影響 Firefox 3.6 和 Firefox 3.5。
(CVE-2011-0053)

Igor Bukanov 和 Gary Kwong 報告了記憶體安全性問題,受影響的只有 Firefox 3.6。(CVE-2011-0062)

MFSA 2011-08 / CVE-2010-1585:Mozilla 安全性開發人員 Roberto Suggi Liverani 報告稱,若內嵌的文件為 chrome 文件,ParanoidFragmentSink (用來清理顯示的潛在不安全 HTML 之類別) 允許 javascript: URL 和其他內嵌 JavaScript。
雖然所有發行的產品中皆不存在此類別的不安全使用方式,但延伸模組程式碼能以不安全的方式加以使用。

MFSA 2011-09 / CVE-2011-0061:安全性研究人員 Jordi Chancel 報告稱,攻擊者可建構會錯誤解碼的 JPEG 影像,進而造成在超出建立用來儲存該影像的緩衝區結尾處寫入資料。攻擊者可能會特製這類影像,該影像會造成惡意程式碼儲存在記憶體中,然後在受害者的電腦上執行。

解決方案

更新受影響的 MozillaThunderbird 套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=667155

Plugin 詳細資訊

嚴重性: Critical

ID: 53774

檔案名稱: suse_11_2_MozillaThunderbird-110302.nasl

版本: 1.7

類型: local

代理程式: unix

已發布: 2011/5/5

已更新: 2021/1/14

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:MozillaThunderbird, p-cpe:/a:novell:opensuse:MozillaThunderbird-devel, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-common, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, cpe:/o:novell:opensuse:11.2

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

修補程式發佈日期: 2011/3/2

參考資訊

CVE: CVE-2010-1585, CVE-2011-0051, CVE-2011-0053, CVE-2011-0054, CVE-2011-0055, CVE-2011-0056, CVE-2011-0057, CVE-2011-0058, CVE-2011-0059, CVE-2011-0061, CVE-2011-0062