Scientific Linux 安全性更新：SL4.x、SL5.x i386/x86_64 上的 thunderbird

high Nessus Plugin ID 60357

語系：

概要

遠端 Scientific Linux 主機缺少一個安全性更新。

說明

在 Thunderbird 處理某些格式錯誤之 HTML 郵件內容的方式中發現多個瑕疵。包含惡意內容的 HTML 郵件訊息可導致 Thunderbird 損毀，或可能以執行 Thunderbird 的使用者身分執行任意程式碼。(CVE-2008-0412、CVE-2008-0413、CVE-2008-0415、CVE-2008-0419)

在 Thunderbird 顯示格式錯誤之 HTML 郵件內容的方式中發現數個瑕疵。包含特製內容的 HTML 郵件訊息可誘騙使用者洩漏敏感資訊。
(CVE-2008-0591、CVE-2008-0593)

在 Thunderbird 處理某些 chrome URL 的方法中發現一個瑕疵。
如果使用者已安裝某些延伸模組，可允許惡意 HTML 郵件訊息竊取敏感工作階段資料。注意：此瑕疵未影響 Thunderbird 的預設安裝。(CVE-2008-0418)

注意：Thunderbird 中預設停用 JavaScript 支援；除非啟用 JavaScript，否則以上問題不會遭到惡意利用。

在 Thunderbird 儲存某些文字檔案的方法中發現一個瑕疵。如果遠端網站提供「plain/text」類型的檔案，而非「text/plain」類型的檔案，Thunderbird 不會將未來的「text/plain」內容顯示給使用者，迫使他們為了檢視內容而在本機儲存這些檔案。(CVE-2008-0592)