検出

Mozilla Thunderbird < 52.7

critical Nessus プラグイン ID 275666

Language:

概要

リモートの Windows ホストにインストールされているメールクライアントは、複数の脆弱性の影響を受けます。

説明

リモートの Windows ホストにインストールされている Thunderbird は、52.7 より前のバージョンです。したがって、mfsa2018-09アドバイザリに記載されているように、複数の脆弱性の影響を受けます。

 - Mozilla 開発者の Jet Villegas 氏と Randell Jesup 氏は、Firefox ESR 52.6 と Thunderbird 52.6に存在するメモリ安全性のバグを報告しました。これらのバグは、メモリ破損の証拠を示しており、十分な手間をかければ、これらの一部を悪用して任意のコードを実行できると考えられます。CVE-2018-5145

 - SVG <code>AnimationPathSegList</code> をスクリプトを通じて操作する際に、バッファオーバーフローが発生する可能性があります。
 これにより、悪用可能なクラッシュが発生する可能性があります。CVE-2018-5127

 - IPC メッセージのパラメーター検証の欠落により、無効な形式の IPC メッセージによる領域外書き込みが発生する可能性があります。これにより、親プロセスのメモリ破損を通じたサンドボックス回避が可能になる可能性があります。CVE-2018-5129

 - チェックされていない長さパラメーターにより、テキストを一部の Unicode 文字セットに変換する際に、整数オーバーフローが発生する可能性があります。CVE-2018-5144

 - Vorbis オーディオデータ処理中の領域外メモリ書き込みが Pwn2Own コンテストを通じて報告されました。
 (CVE-2018-5146)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Mozilla Thunderbird をバージョン 52.7以降にアップグレードしてください。

参考資料

https://www.mozilla.org/en-US/security/advisories/mfsa2018-09/

プラグインの詳細

深刻度: Critical

ID: 275666

ファイル名: mozilla_thunderbird_52_7.nasl

バージョン: 1.1

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2025/11/18

更新日: 2025/11/18

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2018-5145

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:mozilla:thunderbird

必要な KB アイテム: installed_sw/Mozilla Thunderbird

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2018/3/23

脆弱性公開日: 2018/3/13

参照情報

CVE: CVE-2018-5125, CVE-2018-5127, CVE-2018-5129, CVE-2018-5144, CVE-2018-5145, CVE-2018-5146