Ubuntu 11.04:Thunderbirdのリグレッション(USN-1122-3)
critical Nessus プラグイン ID 55082
Language:
概要
リモートのUbuntuホストにセキュリティ関連のパッチがありません。説明
USN-1122-2で、Ubuntu 11.04上Thunderbirdの脆弱性が修正されました。回帰が導入され、Thunderbird に空のメニューバーが表示されました。この更新プログラムにより問題が修正されます。ご不便をお掛けして申し訳ございません。特定のタイプのコンテンツのメモリ処理で脆弱性が見つかりました。攻撃者が、これを悪用して、 Thunderbird を実行しているユーザーとして任意のコードを実行する可能性があります。
(CVE-2011-0081)
Thunderbird が特定の JavaScript リクエストを適切に処理していないことが発見されています。JavaScript有効化されている場合、攻撃者が、これを悪用して、Thunderbirdを実行しているユーザーとして任意のコードを実行する可能性があります。(CVE-2011-0069)
Ian Beer 氏は、特定タイプのドキュメントのメモリ処理にある脆弱性を発見しました。攻撃者が、これを悪用して、Thunderbirdを実行しているユーザーとして任意のコードを実行する可能性があります。(CVE-2011-0070)
Bob Clary 氏、Henri Sivonen 氏、Marco Bonardo 氏、Mats Palmgren 氏、および Jesse Ruderman 氏は、メモリの脆弱性をいくつか発見しました。攻撃者が、これらを悪用してThunderbirdを実行しているユーザーとして任意のコードを実行する可能性があります。(CVE-2011-0080)
Aki Helin 氏は、HTML レンダリングコードにある複数の脆弱性を発見しました。攻撃者が、これらを悪用して Thunderbird を実行しているユーザーとして任意のコードを実行する可能性があります。
(CVE-2011-0074、CVE-2011-0075)
Ian Beer 氏は、複数のオーバーフローの脆弱性を発見しました。攻撃者が、これらを悪用してThunderbirdを実行しているユーザーとして任意のコードを実行する可能性があります。(CVE-2011-0077、CVE-2011-0078)
Martin Barbella 氏は、特定の DOM 要素の処理でメモリの脆弱性を発見しました。攻撃者が、これを悪用して、Thunderbirdを実行しているユーザーとして任意のコードを実行する可能性があります。(CVE-2011-0072)
Thunderbird の mChannel および mObserverList のオブジェクトに use-after-free の脆弱性があることが判明しました。攻撃者が、これらを悪用して Thunderbird を実行しているユーザーとして任意のコードを実行する可能性があります。
(CVE-2011-0065、CVE-2011-0066)
nsTreeSelection 要素の処理に脆弱性があることが判明しました。攻撃者が、特別に細工されたメールを送信することで、Thunderbird を実行しているユーザーとして任意のコードを実行する可能性があります。
(CVE-2011-0073)
Paul Stone 氏は、Java アプレットの処理で脆弱性を発見しました。プラグインが有効化されている場合、攻撃者が、これを利用しフォームオートコンプリートコントロールとの作用を装い、フォームの履歴から入力を盗むことがあります。(CVE-2011-0067)
Soroush Dalili 氏は、リソースで脆弱性を発見しました。
protocolを使用して他の拡張機能に影響を与える可能性があることを発見しました。これにより、攻撃者が、Thunderbirdを実行しているユーザーがアクセスできる任意のコードを読み取ることが可能です。(CVE-2011-0071)
Chris Evans 氏は、Thunderbirdの XSLT generate-id() 関数で脆弱性を発見しました。攻撃者が、この脆弱性を利用して、他の攻撃の効果を高める可能性があります。
(CVE-2011-1202)。
注意: Tenable Network Securityは、前述の説明ブロックをUbuntuセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。
ソリューション
影響を受ける thunderbird-globalmenu パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 55082
ファイル名: ubuntu_USN-1122-3.nasl
バージョン: 1.17
タイプ: local
エージェント: unix
ファミリー: Ubuntu Local Security Checks
公開日: 2011/6/13
更新日: 2019/9/19
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Critical
スコア: 9.5
CVSS v2
リスクファクター: Critical
基本値: 10
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:canonical:ubuntu_linux:thunderbird-globalmenu, cpe:/o:canonical:ubuntu_linux:11.04
必要な KB アイテム: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2011/6/6
脆弱性公開日: 2011/3/10
エクスプロイト可能
CANVAS (White_Phosphorus)
Core Impact
Metasploit (Mozilla Firefox "nsTreeRange" Dangling Pointer Vulnerability)
参照情報
CVE: CVE-2011-0065, CVE-2011-0066, CVE-2011-0067, CVE-2011-0069, CVE-2011-0070, CVE-2011-0071, CVE-2011-0072, CVE-2011-0073, CVE-2011-0074, CVE-2011-0075, CVE-2011-0077, CVE-2011-0078, CVE-2011-0080, CVE-2011-0081, CVE-2011-1202
USN: 1122-3