検出

Mozilla Thunderbird < 68.0

critical Nessus プラグイン ID 128970

Language:

概要

リモートの Windows ホストにインストールされているメールクライアントは、複数の脆弱性の影響を受けます。

説明

リモートの Windows ホストにインストールされている Thunderbird は、68.0 より前のバージョンです。したがって、mfsa2019-28のアドバイザリに記載されているとおり、複数の脆弱性の影響を受けます。

 -スクリプトによって明示的にアクセスされるまで、 <code>window.globalThis</code> は列挙可能ではないため、 <code>Object.getOwnPropertyNames(window)</code>などのコードに表示されません。ウィンドウオブジェクトへのアクセスの列挙とフリーズに依存するサンドボックスをデプロイするサイトは、これを見逃している可能性があります。これにより、サンドボックスがバイパスされる可能性があります。CVE-2019-11716

 - NeckoはUDP接続中に誤ったスレッドで子にアクセスできるため、場合により、潜在的に悪用可能なクラッシュを引き起こす可能性があります。CVE-2019-11714

 - 内部ウィンドウが再利用されるとき、内部ウィンドウはオリジン間保護に対して <code>document.domain</code> の使用を考慮しません。 <code>:</code>​ <code>​</code> ​発見しました。CVE-2019-11711

 - NPAPI プラグインによって作成された Flash などの POST リクエストは、ステータス 308 のリダイレクト応答を受信すると、CORS 要件をバイパスする可能性があります。これにより、攻撃者がクロスサイトリクエストフォージェリ(CSRF)攻撃を実行する可能性があります。
 (CVE-2019-11712)

 - まだ使用中のキャッシュされた HTTP/2 ストリームを閉じると、HTTP/2 に use-after-free の脆弱性が発生し、悪用可能なクラッシュを引き起こす可能性があります。CVE-2019-11713

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Mozilla Thunderbird をバージョン 68.0以降にアップグレードしてください。

参考資料

https://www.mozilla.org/en-US/security/advisories/mfsa2019-28/

プラグインの詳細

深刻度: Critical

ID: 128970

ファイル名: mozilla_thunderbird_68_0.nasl

バージョン: 1.5

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2019/9/17

更新日: 2025/11/18

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2019-11716

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2019-11714

脆弱性情報

CPE: cpe:/a:mozilla:thunderbird

必要な KB アイテム: installed_sw/Mozilla Thunderbird

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2019/8/27

脆弱性公開日: 2019/7/23

参照情報

CVE: CVE-2019-11709, CVE-2019-11710, CVE-2019-11711, CVE-2019-11712, CVE-2019-11713, CVE-2019-11714, CVE-2019-11715, CVE-2019-11716, CVE-2019-11717, CVE-2019-11719, CVE-2019-11720, CVE-2019-11721, CVE-2019-11723, CVE-2019-11724, CVE-2019-11725, CVE-2019-11727, CVE-2019-11728, CVE-2019-11729, CVE-2019-11730

BID: 109081, 109084, 109085, 109086, 109087

MFSA: 2019-28