偵測

Mozilla Thunderbird 10.0.x < 10.0.4 多個弱點

high Nessus Plugin ID 58899

語系:

概要

遠端 Windows 主機含有可能受到數個弱點影響的郵件用戶端。

說明

安裝的 Thunderbird 10.0.x 版本可能受到下列安全性問題的影響:

- 「OpenType 清理程式」中存在一個差一錯誤,其可導致超出邊界讀取情況,以及可能的程式碼執行。(CVE-2011-3062)

- 存有可導致任意程式碼執行的記憶體安全問題。(CVE-2012-0467)

- 存在一個與「indexedDB」的「IDBKeyRange」相關的釋放後使用錯誤。(CVE-2012-0469)

- 存在多個與「gfxImageSurface」相關的堆積損毀錯誤,其可導致可能的程式碼執行。(CVE-2012-0470)

- 存在多重八位元編碼問題,可導致跨網站指令碼攻擊,而多位元組字元集中的某些八位元可能會損毀下列八位元。
 (CVE-2012-0471)

- 使用「cairo-dwrite」轉譯字型時存在一個錯誤,可造成記憶體損毀,進而導致當機,以及可能的程式碼執行。(CVE-2012-0472)

- 「WebGLBuffer」中存在一個錯誤,可導致讀取非法的視訊記憶體。(CVE-2012-0473)

- 有一個不明錯誤,可允許 URL 列偽造。
 (CVE-2012-0474)

- 存在一個與「ISO-2022-KR」和「ISO-2022-CN」字元集相關的解碼問題,可導致跨網站指令碼攻擊。(CVE-2012-0477)
- 存在一個與「WebGL」和「texImage2D」相關的錯誤,可在對一般物件使用「JSVAL_TO_OBJECT」時導致應用程式損毀,或可能的程式碼執行。(CVE-2012-0478)

- 當「Atom XML」或「RSS」資料透過 HTTPS 載入時,可能會出現位址列偽造問題,從而引發網路釣魚攻擊。(CVE-2012-0479)

解決方案

升級至 Thunderbird 10.0.4 ESR 或更新版本。

另請參閱

https://www.mozilla.org/en-US/security/advisories/mfsa2012-20/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-22/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-23/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-24/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-25/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-26/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-27/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-29/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-30/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-31/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-33/

Plugin 詳細資訊

嚴重性: High

ID: 58899

檔案名稱: mozilla_thunderbird_1004.nasl

版本: 1.15

類型: local

代理程式: windows

系列: Windows

已發布: 2012/4/27

已更新: 2018/7/17

支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 8.8

CVSS v2

風險因素: High

基本分數: 9.3

時間分數: 8.1

媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

弱點資訊

CPE: cpe:/a:mozilla:thunderbird

必要的 KB 項目: Mozilla/Thunderbird/Version

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2012/4/24

弱點發布日期: 2012/4/24

參考資訊

CVE: CVE-2011-3062, CVE-2012-0467, CVE-2012-0469, CVE-2012-0470, CVE-2012-0471, CVE-2012-0472, CVE-2012-0473, CVE-2012-0474, CVE-2012-0477, CVE-2012-0478, CVE-2012-0479

BID: 53218, 53219, 53220, 53222, 53223, 53224, 53225, 53227, 53228, 53229, 53231

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990