SuSE 11.2 セキュリティ更新:MozillaThunderbird(2010-03-05)
critical Nessus プラグイン ID 45034
Language:
概要
リモートの SuSE システムに、MozillaThunderbird 用のセキュリティパッチがありません。説明
Mozilla Thunderbird がバージョン 3.0.3 にアップグレードされており、さまざまなバグとセキュリティの問題が修正されます。以下のセキュリティの問題が修正されています:MFSA 2010-01 / CVE-2010-0159:Mozilla の開発者は、Firefox およびその他の Mozilla ベースの製品で利用されるブラウザエンジンで複数の安定性バグを検出し、修正しました。これらの一部のクラッシュでは、特定の状況でのメモリ破損の兆候を示していました。少なくともこれらの一部が悪用されて任意のコードを実行することがあることを、弊社は十分な努力をかけて想定しています。
MFSA 2010-03 / CVE-2009-1571:Secunia Research のセキュリティの研究者である Alin Rad Pop 氏は、残りの入力を処理するのに使用できるスペースが十分にない場合、HTML パーサーが使用されているメモリを不適切に解放したことを報告しました。このような状況では、使用中のオブジェクトにより占有されたメモリが解放されたら、攻撃者がコントロールするテキストで後に満たされることがあります。
このような条件において、解放されたオブジェクトでメソッドが続いて呼び出されると、任意のコードが実行される結果となることがあります。
MFSA 2009-65 / CVE-2009-3979 / CVE-2009-3980 / CVE-2009-3982:メモリ破損の形跡があるクラッシュが修正されました。(rv:1.9.1.6)
MFSA 2009-66 / CVE-2009-3388(bmo#504843,bmo#523816):liboggplay メディアライブラリにおけるメモリ安全性修正が追加されました。
MFSA 2009-67 / CVE-2009-3389(bmo#515882,bmo#504613):libtheora ビデオライブラリにおける整数オーバーフローとクラッシュが修正されました。
ソリューション
たとえば、「yast」を使用して MozillaThunderbird セキュリティパッチをインストールしてください。参考資料
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0162
https://bugzilla.novell.com/show_bug.cgi?id=576969
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0159
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0160
プラグインの詳細
深刻度: Critical
ID: 45034
ファイル名: suse_11_2_MozillaThunderbird-100305.nasl
バージョン: 1.9
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2010/3/11
更新日: 2021/1/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Critical
基本値: 10
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
必要な KB アイテム: Host/SuSE/rpm-list
参照情報
CVE: CVE-2009-1571, CVE-2009-3388, CVE-2009-3389, CVE-2009-3979, CVE-2009-3980, CVE-2009-3982, CVE-2010-0159