SuSE 11.2 セキュリティ更新:MozillaThunderbird(2010-03-05)

critical Nessus プラグイン ID 45034

Language:

概要

リモートの SuSE システムに、MozillaThunderbird 用のセキュリティパッチがありません。

説明

Mozilla Thunderbird がバージョン 3.0.3 にアップグレードされており、さまざまなバグとセキュリティの問題が修正されます。

以下のセキュリティの問題が修正されています:MFSA 2010-01 / CVE-2010-0159:Mozilla の開発者は、Firefox およびその他の Mozilla ベースの製品で利用されるブラウザエンジンで複数の安定性バグを検出し、修正しました。これらの一部のクラッシュでは、特定の状況でのメモリ破損の兆候を示していました。少なくともこれらの一部が悪用されて任意のコードを実行することがあることを、弊社は十分な努力をかけて想定しています。

MFSA 2010-03 / CVE-2009-1571:Secunia Research のセキュリティの研究者である Alin Rad Pop 氏は、残りの入力を処理するのに使用できるスペースが十分にない場合、HTML パーサーが使用されているメモリを不適切に解放したことを報告しました。このような状況では、使用中のオブジェクトにより占有されたメモリが解放されたら、攻撃者がコントロールするテキストで後に満たされることがあります。
このような条件において、解放されたオブジェクトでメソッドが続いて呼び出されると、任意のコードが実行される結果となることがあります。

MFSA 2009-65 / CVE-2009-3979 / CVE-2009-3980 / CVE-2009-3982:メモリ破損の形跡があるクラッシュが修正されました。(rv:1.9.1.6)

MFSA 2009-66 / CVE-2009-3388(bmo#504843,bmo#523816):liboggplay メディアライブラリにおけるメモリ安全性修正が追加されました。

MFSA 2009-67 / CVE-2009-3389(bmo#515882,bmo#504613):libtheora ビデオライブラリにおける整数オーバーフローとクラッシュが修正されました。

ソリューション

たとえば、「yast」を使用して MozillaThunderbird セキュリティパッチをインストールしてください。

参考資料

https://bugzilla.novell.com/show_bug.cgi?id=576969

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0159

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0160

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1571

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3988

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0162

プラグインの詳細

深刻度: Critical

ID: 45034

ファイル名: suse_11_2_MozillaThunderbird-100305.nasl

バージョン: 1.9

エージェント: unix

公開日: 2010/3/11

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

基本値: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

必要な KB アイテム: Host/SuSE/rpm-list

参照情報

CVE: CVE-2009-1571, CVE-2009-3388, CVE-2009-3389, CVE-2009-3979, CVE-2009-3980, CVE-2009-3982, CVE-2010-0159

CWE: 189, 399, 94