Oracle Solaris 第三方修補程式更新：thunderbird (multiple_vulnerabilities_in_thunderbird6)

critical Nessus Plugin ID 80788

語系：

概要

遠端 Solaris 系統缺少一個第三方軟體的安全性修補程式。

說明

遠端 Solaris 系統缺少處理安全性更新的必要修補程式：

- Mozilla Firefox 3.6.26 之前的版本和 4.x 至 9.0 版、Thunderbird 3.1.18 之前的版本和 5.0 至 9.0 版以及 SeaMonkey 2.7 之前的版本有釋放後使用弱點，可允許遠端攻擊者透過與錯誤 AttributeChildRemoved 通知 (該通知會影響已移除 nsDOMAttribute 子節點的存取) 有關的向量執行任意程式碼。(CVE-2011-3659)

- 在 Mozilla Firefox 3.6.26 之前的版本和 4.x 至 9.0 版、Thunderbird 3.1.18 之前的版本和 5.0 至 9.0 版以及 SeaMonkey 2.7 之前的版本中，瀏覽器引擎存在多個不明弱點，會允許遠端攻擊者透過未知向量造成拒絕服務 (記憶體損毀和應用程式損毀)，或可能執行任意程式碼。(CVE-2012-0442)

- 在 Mozilla Firefox 4.x 至 9.0 版、Thunderbird 5.0 至 9.0 版以及 SeaMonkey 2.7 之前的版本中，瀏覽器引擎存在多個不明弱點，會允許遠端攻擊者透過未知向量造成拒絕服務 (記憶體損毀和應用程式損毀)，或可能執行任意程式碼。(CVE-2012-0443)

- 在 Mozilla Firefox 4.x 至 9.0 版、Thunderbird 5.0 至 9.0 版以及 SeaMonkey 2.7 之前的版本中，允許遠端攻擊者繞過 HTML5 框架導覽原則，並藉由建立含有子框架名稱屬性的表單提交目標來取代任意子框架。
(CVE-2012-0445)

- Mozilla Firefox 4.x 至 9.0 版、Thunderbird 5.0 至 9.0 版以及 SeaMonkey 2.7 之前的版本中存在多個跨網站指令碼 (XSS) 弱點，允許遠端攻擊者透過 (1) 網頁或 (2) Firefox 延伸模組插入任意 web 指令碼或 HTML，此問題與不當強制執行 XPConnect 安全性限制有關 (該安全性限制針對呼叫未受信任物件的框架指令碼)。(CVE-2012-0446)

- Mozilla Firefox 4.x 至 9.0 版、Thunderbird 5.0 至 9.0 版以及 SeaMonkey 2.7 之前的版本未正確初始化 image/vnd.microsoft.icon 影像的資料，進而允許遠端攻擊者讀取由 ICO 影像轉換而成的 PNG 影像，藉此取得可能存在的敏感資訊。(CVE-2012-0447)

- 在 Mozilla Firefox 3.6.26 之前的版本和 4.x 至 9.0 版、Thunderbird 3.1.18 之前的版本和 5.0 至 9.0 版以及 SeaMonkey 2.7 之前的版本中，允許遠端攻擊者透過文件中內嵌之格式錯誤的 XSLT 樣式表，造成拒絕服務 (記憶體損毀和應用程式損毀) 或可能執行任意程式碼。(CVE-2012-0449)