openSUSE 安全性更新:MozillaThunderbird (openSUSE-SU-2013:1141-1)

critical Nessus Plugin ID 75071

概要

遠端 openSUSE 主機缺少安全性更新。

說明

MozillaThunderbird 已更新至 Thunderbird 17.0.7 (bnc#825935)

修正的安全性問題:

- MFSA 2013-49/CVE-2013-1682 其他記憶體安全危險

- MFSA 2013-50/CVE-2013-1684/CVE-2013-1685/CVE-2013-1686 使用位址偵察工具找到記憶體損毀

- MFSA 2013-51/CVE-2013-1687 (bmo#863933、bmo#866823) 透過 XBL 的權限內容存取和執行

- MFSA 2013-53/CVE-2013-1690 (bmo#857883) 透過 onreadystatechange 事件的未對應記憶體執行

- MFSA 2013-54/CVE-2013-1692 (bmo#866915) XHR HEAD 要求內文中的資料導致 CSRF 攻擊

- MFSA 2013-55/CVE-2013-1693 (bmo#711043) SVG 篩選會導致資訊洩漏

- MFSA 2013-56/CVE-2013-1694 (bmo#848535) PreserveWrapper 的行為不一致

- MFSA 2013-59/CVE-2013-1697 (bmo#858101) XrayWrappers 會被繞過,以在有權限的內容中執行使用者定義的方法

解決方案

更新受影響的 MozillaThunderbird 套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=825935

https://lists.opensuse.org/opensuse-updates/2013-07/msg00017.html

Plugin 詳細資訊

嚴重性: Critical

ID: 75071

檔案名稱: openSUSE-2013-554.nasl

版本: 1.5

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2022/3/29

支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Critical

分數: 9.6

CVSS v2

風險因素: Critical

基本分數: 10

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:mozillathunderbird, p-cpe:/a:novell:opensuse:mozillathunderbird-buildsymbols, p-cpe:/a:novell:opensuse:mozillathunderbird-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-debugsource, p-cpe:/a:novell:opensuse:mozillathunderbird-devel, p-cpe:/a:novell:opensuse:mozillathunderbird-devel-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-common, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, cpe:/o:novell:opensuse:12.2, cpe:/o:novell:opensuse:12.3

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2013/6/26

CISA 已知遭惡意利用弱點到期日: 2022/4/18

可惡意利用

Metasploit (Firefox onreadystatechange Event DocumentViewerImpl Use After Free)

參考資訊

CVE: CVE-2013-1682, CVE-2013-1684, CVE-2013-1685, CVE-2013-1686, CVE-2013-1687, CVE-2013-1690, CVE-2013-1692, CVE-2013-1693, CVE-2013-1694, CVE-2013-1697