CentOS 4 / 5：thunderbird（CESA-2011: 0474）

critical Nessus プラグイン ID 53601

Language:

概要

リモートのCentOSホストにセキュリティ更新プログラムがありません。

説明

いくつかのセキュリティの問題を修正する更新済みの thunderbird パッケージが、 Red Hat Enterprise Linux 4 と 5 で現在利用可能です。

Red Hatセキュリティレスポンスチームは、この更新によるセキュリティ上の影響が重要度最高だと評価しています。詳細な重要度の評価を提供するCommon Vulnerability Scoring System（CVSS）のベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに確認できます。

Mozilla Thunderbirdはスタンドアロンのメールおよびニュースグループクライアントです。

不正な形式の HTML コンテンツの処理にいくつかの欠陥が見つかりました。
悪意のあるコンテンツが含まれているHTMLメールメッセージにより、Thunderbirdを実行しているユーザーの権限で任意のコードが実行される可能性があります。（CVE-2011-0080）

Thunderbird でメモリ不足の状態を処理する方法で、任意メモリ書き込み欠陥が見つかりました。ユーザーが悪意のあるHTMLメールメッセージを表示した際にすべてのメモリが消費されると、Thunderbirdを実行しているユーザーの権限で任意のコードが実行される可能性があります。（CVE-2011-0078）

Thunderbird で HTML フレームセットタグを処理する方法で、整数オーバーフロー欠陥が見つかりました。「rows」および「cols」属性の大きな値が含まれているフレームセットタグがあるHTMLメールメッセージにより、この欠陥が発生させられ、Thunderbirdを実行しているユーザーの権限で任意のコードが実行される可能性があります。（CVE-2011-0077）

Thunderbird で HTML iframe タグを処理する方法で、欠陥が見つかりました。
特別に細工されたソースアドレスが含まれている iframe タグがある HTML メールメッセージが、この欠陥を発生させることがあり、Thunderbird を実行しているユーザーの権限で任意のコードが実行される可能性があります。
（CVE-2011-0075）

Thunderbird が複数の marquee 要素を表示する方法で、欠陥が見つかりました。無効な形式のHTMLメールメッセージによって、Thunderbirdを実行しているユーザーの権限で任意のコードが実行される可能性があります。（CVE-2011-0074）

Thunderbird で nsTreeSelection 要素を処理する方法で、欠陥が見つかりました。無効な形式のコンテンツによって、 Thunderbird を実行しているユーザーの権限で任意のコードが実行される可能性があります。
（CVE-2011-0073）

Thunderbird のすべてのユーザーは、この更新済みパッケージにアップグレードし、これらの問題を解決する必要があります。この更新を有効にするためには、Thunderbird のすべての実行中のインスタンスを再起動する必要があります。