openSUSE セキュリティ更新:MozillaThunderbird(MozillaThunderbird-4070)

critical Nessus プラグイン ID 53774
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

MozillaThunderbird は、多様なセキュリティ問題を修正するバージョン 3.1.8 に更新されています。

以下のセキュリティのバグが修正されました:MFSA 2011-01:Mozilla の開発者は、 Firefox などの Mozilla ベースの製品で使用されるブラウザエンジンで、いくつかのメモリ安全性のバグを特定し、修正しました。これらのバグの一部には、特定の条件下でのメモリ破損の証拠が示されていました。十分な努力をすれば少なくともこれらの一部を悪用して、任意のコードが実行されることがあると、弊社では推測しています。

Jesse Ruderman、Igor Bukanov、Olli Pettay、Gary Kwong、Jeff Walden、 Henry Sivonen、Martijn Wargers、David Baron および Marcia Knous が Firefox 3.6 および Firefox 3.5 に影響を与えるメモリ安全性の問題を報告しています。
(CVE-2011-0053)

Igor Bukanov および Gary Kwong が Firefox 3.6 のみに影響するメモリ安全性の問題を報告しています。(CVE-2011-0062)

MFSA 2011-08 / CVE-2010-1585:Mozilla セキュリティ開発者の Roberto Suggi Liverani 氏が、安全でない可能性のある表示用 HTML をサニタイズに使用されるクラスである ParanoidFragmentSink が、埋め込まれたドキュメントが chrome のドキュメントである場合、javascript の URL またはその他インラインの JavaScript を許可することを報告しました。
リリースされている製品すべてには、このクラスの安全でない使用法は存在しませんが、拡張コードによって安全でない方法で使用される可能性があります。

MFSA 2011-09 / CVE-2011-0061:セキュリティ研究者の Jordi Chancel 氏が不適切にデコードされる JPEG イメージを構築することにより、イメージを保存するために作成されるバッファの終端を超えて、データが書き込まれることがあることを報告しました。攻撃者がこのようなイメージを作成して、悪意のあるコードをメモリに保存し、その後被害者のコンピューターで実行する可能性があります。

ソリューション

影響を受ける MozillaThunderbird パッケージを更新してください。

関連情報

https://bugzilla.novell.com/show_bug.cgi?id=667155

プラグインの詳細

深刻度: Critical

ID: 53774

ファイル名: suse_11_2_MozillaThunderbird-110302.nasl

バージョン: 1.7

タイプ: local

エージェント: unix

公開日: 2011/5/5

更新日: 2021/1/14

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

Base Score: 10

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:MozillaThunderbird, p-cpe:/a:novell:opensuse:MozillaThunderbird-devel, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-common, p-cpe:/a:novell:opensuse:MozillaThunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, cpe:/o:novell:opensuse:11.2

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

パッチ公開日: 2011/3/2

参照情報

CVE: CVE-2010-1585, CVE-2011-0051, CVE-2011-0053, CVE-2011-0054, CVE-2011-0055, CVE-2011-0056, CVE-2011-0057, CVE-2011-0058, CVE-2011-0059, CVE-2011-0061, CVE-2011-0062