Mozilla Thunderbird < 17.0 多個弱點

critical Nessus Plugin ID 63000

Synopsis

遠端 Windows 主機含有可能受到數個弱點影響的郵件用戶端。

描述

安裝的 Thunderbird 版本比 17.0 舊。因此,可能會受以下安全性問題影響:

- 在 Mozilla 型產品使用的瀏覽器引擎中存在數個記憶體安全問題,可遭到惡意利用而執行任意程式碼。(CVE-2012-5842、CVE-2012-5843)

- 與 GIF 影像相關的「image::RasterImage::DrawFrameTo」方法中存在一個錯誤,可允許堆積型緩衝區溢位,進而導致任意程式碼執行。(CVE-2012-4202)

- 存在一個與 SVG 文字和 CSS 內容相關的錯誤,可導致應用程式損毀。(CVE-2012-5836)

- JavaScript「str_unescape」函式可允許任意程式碼執行。(CVE-2012-4204)

-「XMLHttpRequest」物件在沙箱中建立時繼承了錯誤主體,可允許跨網站要求偽造攻擊 (CSRF)。(CVE-2012-4205)

-「XrayWrappers」可洩漏不應供 chrome 區間以外存取的 DOM 內容。(CVE-2012-4208)

- 存在多個與「evalInSandbox」、「HZ-GB-2312」字元集、框架和「location」物件及「跨來源包裝函式」相關的錯誤,可允許跨網站指令碼 (XSS) 攻擊。(CVE-2012-4201、CVE-2012-4207、CVE-2012-4209、CVE-2012-5841)

- 存在各種釋放後使用、超出邊界讀取及緩衝區溢位錯誤,可能導致任意程式碼執行。(CVE-2012-4212、CVE-2012-4213、CVE-2012-4214、CVE-2012-4215、CVE-2012-4216、CVE-2012-4217、CVE-2012-4218、CVE-2012-5829、CVE-2012-5830、CVE-2012-5833、CVE-2012-5835、CVE-2012-5838、CVE-2012-5839、CVE-2012-5840)

解決方案

升級至 Thunderbird 17.0 或更新版本。

另請參閱

https://www.mozilla.org/en-US/security/advisories/mfsa2012-91/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-92/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-93/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-94/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-96/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-97/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-99/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-100/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-101/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-103/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-105/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-106/

Plugin 詳細資訊

嚴重性: Critical

ID: 63000

檔案名稱: mozilla_thunderbird_170.nasl

版本: 1.20

類型: local

代理程式: windows

系列: Windows

已發布: 2012/11/21

已更新: 2019/12/4

支持的傳感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.8

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:POC/RL:OF/RC:C

CVSS 評分資料來源: CVE-2012-5843

弱點資訊

CPE: cpe:/a:mozilla:thunderbird

必要的 KB 項目: Mozilla/Thunderbird/Version

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2012/11/20

弱點發布日期: 2012/11/20

參考資訊

CVE: CVE-2012-4201, CVE-2012-4202, CVE-2012-4204, CVE-2012-4205, CVE-2012-4207, CVE-2012-4208, CVE-2012-4209, CVE-2012-4212, CVE-2012-4213, CVE-2012-4214, CVE-2012-4215, CVE-2012-4216, CVE-2012-4217, CVE-2012-4218, CVE-2012-5829, CVE-2012-5830, CVE-2012-5833, CVE-2012-5835, CVE-2012-5836, CVE-2012-5838, CVE-2012-5839, CVE-2012-5840, CVE-2012-5841, CVE-2012-5842, CVE-2012-5843

BID: 56611, 56612, 56613, 56614, 56616, 56618, 56621, 56627, 56628, 56629, 56630, 56631, 56632, 56633, 56634, 56635, 56636, 56637, 56638, 56639, 56640, 56641, 56642, 56643, 56644

CWE: 20, 74, 79, 442, 629, 711, 712, 722, 725, 750, 751, 800, 801, 809, 811, 864, 900, 928, 931, 990