Mozilla Thunderbird < 24.4 多個弱點
high Nessus Plugin ID 73100
語系:
概要
遠端 Windows 主機含有可能受到多個弱點影響的郵件用戶端。說明
安裝的 Thunderbird 版本比 24.4 舊,因此可能受到下列弱點影響:- 存有可導致任意程式碼執行的記憶體問題。(CVE-2014-1493、CVE-2014-1494)
- 存有針對更新擷取的檔案在更新時並非唯讀的問題。攻擊者可以修改這些擷取的檔案,進而導致權限提升。(CVE-2014-1496)
- 解碼 WAV 格式的音訊檔時存有超出邊界讀取錯誤,可引發拒絕服務攻擊或資訊洩漏。
(CVE-2014-1497)
- 多邊體在 'MathML' 中轉譯時存有超出邊界讀取錯誤,可引發資訊洩漏。(CVE-2014-1508)
- Cairo 圖表程式庫在轉譯 PDF 檔時存有記憶體損毀問題,可引發任意程式碼執行或拒絕服務攻擊。
(CVE-2014-1509)
- SVG 篩選和 feDisplacementMap 元素中存有問題,可因計時攻擊而導致資訊洩漏。
(CVE-2014-1505)
- 存有可導致惡意網站在 JavaScript 實作 WebIDL 呼叫 'window.open()' 函式時載入 chrome 權限頁面的問題,可造成任意程式碼執行。
(CVE-2014-1510)
- 存有可導致惡意網站繞過快顯封鎖程式的問題。(CVE-2014-1511)
- JavaScript 引擎的 'TypeObjects' 在記憶體回收期間存有釋放後使用問題,可導致任意程式碼執行。
(CVE-2014-1512)
- 由於 'TypedArrayObject' 未正確處理 'ArrayBuffer' 物件而存有超出邊界的寫入錯誤,可導致任意程式碼執行。
(CVE-2014-1513)
- 在陣列之間複製值存有超出邊界的寫入錯誤,可導致任意程式碼執行。(CVE-2014-1514)
解決方案
升級至 Thunderbird 24.4 或更新版本。另請參閱
http://www.securityfocus.com/archive/1/531617/30/0/threaded
https://www.mozilla.org/en-US/security/advisories/mfsa2014-15/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-16/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-17/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-18/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-19/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-26/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-27/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-28/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-29/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-30/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-31/
https://www.mozilla.org/en-US/security/advisories/mfsa2014-32/
Plugin 詳細資訊
嚴重性: High
ID: 73100
檔案名稱: mozilla_thunderbird_24_4.nasl
版本: 1.15
類型: local
代理程式: windows
系列: Windows
已發布: 2014/3/19
已更新: 2018/7/16
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Critical
分數: 9.5
CVSS v2
風險因素: High
基本分數: 9.3
時間分數: 8.1
媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
弱點資訊
CPE: cpe:/a:mozilla:thunderbird
必要的 KB 項目: Mozilla/Thunderbird/Version
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2014/3/18
弱點發布日期: 2014/3/18
可惡意利用
Metasploit (Firefox WebIDL Privileged Javascript Injection)
參考資訊
CVE: CVE-2014-1493, CVE-2014-1494, CVE-2014-1496, CVE-2014-1497, CVE-2014-1505, CVE-2014-1508, CVE-2014-1509, CVE-2014-1510, CVE-2014-1511, CVE-2014-1512, CVE-2014-1513, CVE-2014-1514
BID: 66203, 66206, 66207, 66209, 66240, 66412, 66416, 66418, 66419, 66423, 66425, 66426