Mozilla Thunderbird < 7.0 の複数の脆弱性
high Nessus プラグイン ID 56336
Language:
概要
リモート Windows ホストに、複数の脆弱性の影響を受けることがあるメールクライアントが含まれています。説明
インストールされている Thunderbird のバージョンが 7.0 より前であるため、次のセキュリティの問題による影響を受ける可能性があります:- 悪意のあるゲームなどを介して攻撃者がユーザーを騙して「Enter」キーを押させると、悪意のあるアプリケーションまたは拡張機能がダウンロードされ、実行される可能性があります(CVE-2011-2372、CVE-2011-3001)
- 悪用されてメモリ破損の可能性がある、詳細不明のエラーが存在します。現時点で追加情報はありません。(CVE-2011-2995、CVE-2011-2997)
-「Location」ヘッダーを処理する時に欠陥が存在します。
これによって、脆弱性がある Web サーバーにアクセスする時に、応答分割攻撃が発生する可能性があります。同じ修正が「Content-Length」および「Content-Disposition」ヘッダーに適用されています。(CVE-2011-3000)
- OGG ヘッダーの解析時に、use-after-free エラーが存在します。
(CVE-2011-3005)
- YARR正規表現ライブラリ内部に詳細不明のエラーがあり、これが悪用されてメモリ破損が発生する可能性があります。(CVE-2011-3232)
ソリューション
Thunderbird 7.0 または以降にアップグレードしてください。参考資料
https://www.mozilla.org/en-US/security/advisories/mfsa2011-36/
https://www.mozilla.org/en-US/security/advisories/mfsa2011-39/
https://www.mozilla.org/en-US/security/advisories/mfsa2011-40/
https://www.mozilla.org/en-US/security/advisories/mfsa2011-42/
https://www.mozilla.org/en-US/security/advisories/mfsa2011-44/
プラグインの詳細
深刻度: High
ID: 56336
ファイル名: mozilla_thunderbird_70.nasl
バージョン: 1.9
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2011/9/29
更新日: 2018/7/16
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 6.9
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: cpe:/a:mozilla:thunderbird
必要な KB アイテム: Mozilla/Thunderbird/Version
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2011/9/27
脆弱性公開日: 2011/9/27
参照情報
CVE: CVE-2011-2372, CVE-2011-2995, CVE-2011-2997, CVE-2011-3000, CVE-2011-3001, CVE-2011-3005, CVE-2011-3232