偵測

Ubuntu 12.04 LTS / 12.10 / 13.04 / 13.10:thunderbird 弱點 (USN-2053-1)

critical Nessus Plugin ID 71375

語系:

概要

遠端 Ubuntu 主機缺少安全性相關修補程式。

說明

Ben Turner、Bobby Holley、Jesse Ruderman 和 Christian Holler 發現 Thunderbird 中有多個記憶體安全性問題。如果使用者遭到誘騙而開啟指令碼啟用的特製訊息,攻擊者可能加以惡意利用,透過應用程式損毀來引發拒絕服務,或可能以叫用 Thunderbird 的使用者權限執行任意程式碼。(CVE-2013-5609)

Tyson Smith 和 Jesse Schwartzentruber 發現事件接聽程式中有釋放後使用錯誤。如果使用者啟用指令碼,則攻擊者可能加以惡意利用,透過應用程式損毀來引發拒絕服務,或以叫用 Thunderbird 的使用者權限執行任意程式碼。(CVE-2013-5616)

在表格編輯介面中發現釋放後使用錯誤。攻擊者可能加以惡意利用,透過損毀應用程式引發拒絕服務,或以叫用 Thunderbird 的使用者權限執行任意程式碼。(CVE-2013-5618)

Tyson Smith 和 Jesse Schwartzentruber 發現,使用指令碼在文件中插入指定的清單時會當機。如果使用者啟用指令碼,攻擊者可能加以惡意利用,以叫用 Thunderbird 之使用者的權限來執行任意程式碼。(CVE-2013-6671)

Sijie Xia 發現,內建 EV root 憑證的信任設定在特定情況下會遭到忽略,導致使用者無法手動不信任來自特定授權單位的憑證。(CVE-2013-6673)

Tyson Smith、Jesse Schwartzentruber 和 Atte Kettunen 發現,綜合滑鼠移動處理的函式中出現釋放後使用錯誤。如果使用者啟用指令碼,則攻擊者可能加以惡意利用,透過應用程式損毀來引發拒絕服務,或以叫用 Thunderbird 的使用者權限執行任意程式碼。
(CVE-2013-5613)

Eric Faust 發現,GetElementIC 型別陣列虛設常式可在觀察到的排版之外產生。如果使用者已啟用指令碼,攻擊者便可能加以惡意利用,藉此造成伴隨潛在安全性影響的未定義行為。(CVE-2013-5615)

Michal Zalewski 發現 JPEG 影像處理存在數個問題。攻擊者可能惡意利用這些問題以取得敏感資訊。(CVE-2013-6629、CVE-2013-6630)。

解決方案

更新受影響的 thunderbird 套件。

另請參閱

https://usn.ubuntu.com/2053-1/

Plugin 詳細資訊

嚴重性: Critical

ID: 71375

檔案名稱: ubuntu_USN-2053-1.nasl

版本: 1.10

類型: local

代理程式: unix

已發布: 2013/12/12

已更新: 2019/9/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:canonical:ubuntu_linux:thunderbird, cpe:/o:canonical:ubuntu_linux:12.04:-:lts, cpe:/o:canonical:ubuntu_linux:12.10, cpe:/o:canonical:ubuntu_linux:13.04, cpe:/o:canonical:ubuntu_linux:13.10

必要的 KB 項目: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/12/11

弱點發布日期: 2013/11/18

參考資訊

CVE: CVE-2013-5609, CVE-2013-5613, CVE-2013-5615, CVE-2013-5616, CVE-2013-5618, CVE-2013-6629, CVE-2013-6630, CVE-2013-6671, CVE-2013-6673

BID: 64203, 64204, 64209, 64211, 64216

USN: 2053-1