Mozilla Thunderbird 10.0.x < 10.0.3 の複数の脆弱性
high Nessus プラグイン ID 58350
Language:
概要
リモートWindowsホストにあるメールクライアントが、いくつかの脆弱性の影響を受ける可能性があります。説明
Thunderbird バージョン 10.0.x がインストールされている場合、次のセキュリティの問題による影響を受けます。- 複数のメモリ破損の問題。By tricking a user into visiting a specially crafted page, these issues may allow an attacker to execute arbitrary code in the context of the affected application. (CVE-2012-0454, CVE-2012-0457, CVE-2012-0459, CVE-2012-0461, CVE-2012-0462, CVE-2012-0463, CVE-2012-0464)
- An HTTP Header security bypass vulnerability exists that can be leveraged by attackers to bypass certain security restrictions and conduct cross-site scripting attacks. (CVE-2012-0451).
- A security bypass vulnerability exists that can be exploited by an attacker if the victim can be tricked into setting a new home page by dragging a specially crafted link to the 'home' button URL, which will set the user's home page to a 'javascript: ' URL. (CVE-2012-0458)
- An information disclosure vulnerability exists due to an out-of-bounds read in SVG filters. (CVE-2012-0456)
- A cross-site scripting vulnerability exists that can be triggered by dragging and dropping 'javascript: ' links onto a frame. (CVE-2012-0455)
- 'window.fullScreen' is writeable by untrusted content, allowing attackers to perform UI spoofing attacks. (CVE-2012-0460)
ソリューション
Thunderbird 10.0.3 ESR 以降にアップグレードしてください。参考資料
https://www.mozilla.org/en-US/security/advisories/mfsa2012-12/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-13/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-14/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-15/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-16/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-17/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-18/
https://www.mozilla.org/en-US/security/advisories/mfsa2012-19/
プラグインの詳細
深刻度: High
ID: 58350
ファイル名: mozilla_thunderbird_1003.nasl
バージョン: 1.10
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2012/3/15
更新日: 2018/7/16
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 6.9
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: cpe:/a:mozilla:thunderbird
必要な KB アイテム: Mozilla/Thunderbird/Version
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2012/3/13
脆弱性公開日: 2012/3/13
参照情報
CVE: CVE-2012-0451, CVE-2012-0454, CVE-2012-0455, CVE-2012-0456, CVE-2012-0457, CVE-2012-0458, CVE-2012-0459, CVE-2012-0460, CVE-2012-0461, CVE-2012-0462, CVE-2012-0463, CVE-2012-0464
BID: 52455, 52456, 52457, 52458, 52459, 52460, 52461, 52463, 52464, 52465, 52466, 52467