検出

Mozilla Thunderbird < 60.3

critical Nessus プラグイン ID 118593

Language:

概要

リモートの Windows ホストにインストールされているメールクライアントは、複数の脆弱性の影響を受けます。

説明

リモートの Windows ホストにインストールされている Thunderbird は、60.3 より前のバージョンです。したがって、mfsa2018-28アドバイザリに記載されているように、複数の脆弱性の影響を受けます。

 - スクリプトを使用してドキュメントを開いている間にネストされたループ内のユーザーイベントを操作するとき、イベント処理が不適切であるために悪用可能なクラッシュを引き起こす可能性があります。CVE-2018-12392

 - Firefox for Android で HTTP Live Stream を再生中に、セキュリティポリシー違反でオリジン間で音声データにアクセスされる可能性があります。この問題は基盤となる Android サービスに存在するため、この問題は、すべての HLS ストリームをクロスオリジンおよびアクセスに対して不透明として扱うことで対処されます。注この問題による影響を受けるのは、Firefox for Android だけです。Firefox のデスクトップバージョンは影響を受けません。CVE-2018-12391

 - スクリプトを内部 UTF-16 表現に変換する際の整数オーバーフローにより、バッファの割り当てが変換に対して足りなくなる脆弱性が、32 ビットビルドにあります。これによって領域外書き込みが発生する可能性があります。注64 ビットビルドは、この問題に対して脆弱ではありません。CVE-2018-12393

 - Mozilla 開発者でありコミュニティメンバーである Daniel Veditz 氏と Philipp 氏は、Firefox ESR に存在するメモリ安全性のバグを報告しました 60.2。このバグの一部からは、メモリ破損の証拠を示しており、十分な手間をかければ、これらの一部を悪用して任意のコードを実行できると考えられます。CVE-2018-12389

 - Mozilla 開発者およびコミュニティメンバーの Christian Holler 氏、Bob Owen 氏、Boris Zbarsky 氏、Calixte Denizet 氏、Jason Kratzer 氏、Jed Davis 氏、Taegeon Lee 氏、Philipp 氏、Ronald Crane 氏、Raul Gurzau 氏、Gary Kwong 氏、Tyson Smith 氏、Raymond Forbes 氏、および Bogdan Tara 氏は、メモリの安全性を報告しました。 Firefox 62 および Firefox ESR に存在するバグ 60.2。このバグの一部からは、メモリ破損の証拠を示しており、十分な手間をかければ、これらの一部を悪用して任意のコードを実行できると考えられます。CVE-2018-12390

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Mozilla Thunderbird をバージョン 60.3以降にアップグレードしてください。

参考資料

https://www.mozilla.org/en-US/security/advisories/mfsa2018-28/

プラグインの詳細

深刻度: Critical

ID: 118593

ファイル名: mozilla_thunderbird_60_3.nasl

バージョン: 1.5

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2018/11/1

更新日: 2025/11/18

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 6.9

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2018-12391

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2018-12392

脆弱性情報

CPE: cpe:/a:mozilla:thunderbird

必要な KB アイテム: installed_sw/Mozilla Thunderbird

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2018/10/31

脆弱性公開日: 2018/10/31

参照情報

CVE: CVE-2018-12389, CVE-2018-12390, CVE-2018-12391, CVE-2018-12392, CVE-2018-12393