早於 10.0.4 的 Thunderbird 10.0.x 版本的多個弱點 (Mac OS X)

high Nessus Plugin ID 58895

Synopsis

遠端 Mac OS X 主機包含一個受到多個弱點影響的郵件用戶端。

描述

安裝的 Thunderbird 10.0.x 版本可能受到下列安全性問題的影響:

- 「OpenType 清理程式」中存在差一錯誤,其可能導致超出邊界讀取情況,以及可能的程式碼執行。(CVE-2011-3062)

- 存有可導致任意程式碼執行的記憶體安全問題。(CVE-2012-0467)

- 存在一個與「indexedDB」的「IDBKeyRange」相關的釋放後使用錯誤。(CVE-2012-0469)

- 存在與「gfxImageSurface」相關的堆積損毀錯誤,可能會導致程式碼執行。(CVE-2012-0470)

- 存在多重八位元編碼問題,可導致跨網站指令碼攻擊,而多位元組字元集中的某些八位元可能會損毀下列八位元。
(CVE-2012-0471)

- 「WebGLBuffer」中存在一個錯誤,可能造成存取非法的視訊記憶體。(CVE-2012-0473)

- 不明錯誤可造成 URL 列偽造。
(CVE-2012-0474)

- 存在一個與「ISO-2022-KR」和「ISO-2022-CN」字元集相關的解碼問題,可導致跨網站指令碼攻擊。(CVE-2012-0477)
- 存在一個與「WebGL」和「texImage2D」相關的錯誤,在對一般物件使用「JSVAL_TO_OBJECT」時,可導致應用程式損毀或執行程式碼。(CVE-2012-0478)

- 當「Atom XML」或「RSS」資料透過 HTTPS 載入時,可能會出現位址列偽造問題,從而引發網路釣魚攻擊。(CVE-2012-0479)

解決方案

升級至 Thunderbird 10.0.4 ESR 或更新版本。

另請參閱

https://www.mozilla.org/en-US/security/advisories/mfsa2012-20/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-22/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-23/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-24/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-26/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-27/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-29/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-30/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-31/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-33/

Plugin 詳細資訊

嚴重性: High

ID: 58895

檔案名稱: macosx_thunderbird_10_0_4.nasl

版本: 1.14

類型: local

代理程式: macosx

已發布: 2012/4/27

已更新: 2018/7/16

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: High

分數: 8.8

CVSS v2

風險因素: High

基本分數: 9.3

時間分數: 8.1

媒介: AV:N/AC:M/Au:N/C:C/I:C/A:C

時間媒介: E:H/RL:OF/RC:C

弱點資訊

CPE: cpe:/a:mozilla:thunderbird

必要的 KB 項目: MacOSX/Thunderbird/Installed

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2012/4/24

弱點發布日期: 2012/4/24

參考資訊

CVE: CVE-2011-3062, CVE-2012-0467, CVE-2012-0469, CVE-2012-0470, CVE-2012-0471, CVE-2012-0473, CVE-2012-0474, CVE-2012-0477, CVE-2012-0478, CVE-2012-0479

BID: 53219, 53220, 53222, 53223, 53224, 53225, 53227, 53228, 53229, 53231

CWE: 20, 74, 79, 442, 629, 711, 712, 722, 725, 750, 751, 800, 801, 809, 811, 864, 900, 928, 931, 990