Ubuntu 11.04:thunderbirdの脆弱性(USN-1122-2)
critical Nessus プラグイン ID 55081
Language:
概要
リモートのUbuntuホストにセキュリティ関連のパッチがありません。説明
USN-1122-1では、LucidおよびMaverick用のThunderbirdの脆弱性を修正しました。この更新は、Natty に対応する修正提供します。特定のタイプのコンテンツのメモリ処理で脆弱性が見つかりました。攻撃者が、これを悪用して、 Thunderbird を実行しているユーザーとして任意のコードを実行する可能性があります。
(CVE-2011-0081)
Thunderbird が特定の JavaScript リクエストを適切に処理していないことが発見されています。JavaScript有効化されている場合、攻撃者が、これを悪用して、Thunderbirdを実行しているユーザーとして任意のコードを実行する可能性があります。(CVE-2011-0069)
Ian Beer 氏は、特定タイプのドキュメントのメモリ処理にある脆弱性を発見しました。攻撃者が、これを悪用して、Thunderbirdを実行しているユーザーとして任意のコードを実行する可能性があります。(CVE-2011-0070)
Bob Clary 氏、Henri Sivonen 氏、Marco Bonardo 氏、Mats Palmgren 氏、および Jesse Ruderman 氏は、メモリの脆弱性をいくつか発見しました。攻撃者が、これらを悪用してThunderbirdを実行しているユーザーとして任意のコードを実行する可能性があります。(CVE-2011-0080)
Aki Helin 氏は、HTML レンダリングコードにある複数の脆弱性を発見しました。攻撃者が、これらを悪用して Thunderbird を実行しているユーザーとして任意のコードを実行する可能性があります。
(CVE-2011-0074、CVE-2011-0075)
Ian Beer 氏は、複数のオーバーフローの脆弱性を発見しました。攻撃者が、これらを悪用してThunderbirdを実行しているユーザーとして任意のコードを実行する可能性があります。(CVE-2011-0077、CVE-2011-0078)
Martin Barbella 氏は、特定の DOM 要素の処理でメモリの脆弱性を発見しました。攻撃者が、これを悪用して、Thunderbirdを実行しているユーザーとして任意のコードを実行する可能性があります。(CVE-2011-0072)
Thunderbird の mChannel および mObserverList のオブジェクトに use-after-free の脆弱性があることが判明しました。攻撃者が、これらを悪用して Thunderbird を実行しているユーザーとして任意のコードを実行する可能性があります。
(CVE-2011-0065、CVE-2011-0066)
nsTreeSelection 要素の処理に脆弱性があることが判明しました。攻撃者が、特別に細工されたメールを送信することで、Thunderbird を実行しているユーザーとして任意のコードを実行する可能性があります。
(CVE-2011-0073)
Paul Stone 氏は、Java アプレットの処理で脆弱性を発見しました。プラグインが有効化されている場合、攻撃者が、これを利用しフォームオートコンプリートコントロールとの作用を装い、フォームの履歴から入力を盗むことがあります。(CVE-2011-0067)
Soroush Dalili 氏は、リソースで脆弱性を発見しました。
protocolを使用して他の拡張機能に影響を与える可能性があることを発見しました。これにより、攻撃者が、Thunderbirdを実行しているユーザーがアクセスできる任意のコードを読み取ることが可能です。(CVE-2011-0071)
Chris Evans 氏は、Thunderbirdの XSLT generate-id() 関数で脆弱性を発見しました。攻撃者が、この脆弱性を利用して、他の攻撃の効果を高める可能性があります。
(CVE-2011-1202)。
注意: Tenable Network Securityは、前述の説明ブロックをUbuntuセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。
ソリューション
影響を受けるthunderbirdパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 55081
ファイル名: ubuntu_USN-1122-2.nasl
バージョン: 1.19
タイプ: local
エージェント: unix
ファミリー: Ubuntu Local Security Checks
公開日: 2011/6/13
更新日: 2019/9/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Critical
スコア: 9.6
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:canonical:ubuntu_linux:thunderbird, cpe:/o:canonical:ubuntu_linux:11.04
必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2011/5/5
脆弱性公開日: 2011/3/10
エクスプロイト可能
CANVAS (White_Phosphorus)
Core Impact
Metasploit (Mozilla Firefox "nsTreeRange" Dangling Pointer Vulnerability)
参照情報
CVE: CVE-2011-0065, CVE-2011-0066, CVE-2011-0067, CVE-2011-0069, CVE-2011-0070, CVE-2011-0071, CVE-2011-0072, CVE-2011-0073, CVE-2011-0074, CVE-2011-0075, CVE-2011-0077, CVE-2011-0078, CVE-2011-0080, CVE-2011-0081, CVE-2011-1202
BID: 47641, 47646, 47647, 47648, 47651, 47653, 47654, 47655, 47656, 47659, 47662, 47663, 47666, 47667, 47668
USN: 1122-2