Thunderbird < 12.0 複数の脆弱性(Mac OS X)

high Nessus プラグイン ID 58896
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Mac OS X ホストに含まれているメールクライアントは、いくつかの脆弱性による影響を受けます。

説明

インストールされている Thunderbird のバージョンは 12.0 より前であり、以下のセキュリティ問題の影響を受ける可能性があります。

- JavaScript のエラー処理にエラーが存在するため、情報漏洩が引き起こされる可能性があります。(CVE-2011-1187)

- 「OpenType Sanitizer」に off-by-one のエラーが存在するため、境界外の読み取りやコードの実行が引き起こされる可能性があります。(CVE-2011-3062)

- メモリ安全性の問題が存在し、これによって任意のコードが実行される可能性があります。(CVE-2012-0467、CVE-2012-0468)

- 「indexedDB」の「IDBKeyRange」に関連する use-after-free エラーが存在します。(CVE-2012-0469)

- 「gfxImageSurface」に関連するヒープ破損エラーが存在するため、コードの実行が引き起こされる可能性があります。(CVE-2012-0470)

- マルチオクテットのエンコーディングの問題が存在します。これにより、マルチバイト文字セットでのある特定のオクテットがそれに続くオクテットを破壊できるようになるため、クロスサイトスクリプティング攻撃が可能な場合があります。
(CVE-2012-0471)

- 「WebGLBuffer」にエラーが存在するため、違法なビデオメモリの読み取りを引き起こす可能性があります。(CVE-2012-0473)

- 詳細不明のエラーにより、URL バースプーフィングが可能になる場合があります。
(CVE-2012-0474)

- 標準外のポートでの、IPv6 アドレスとクロスサイト「XHR」接続または「WebSocket」接続により、このアプリケーションは不明確な元のヘッダーを送信できる場合があります。(CVE-2012-0475)

- 「ISO-2022-KR」と「ISO-2022-CN」の文字セットに関連するデコーディングの問題が存在するため、クロスサイトスクリプティング攻撃が引き起こされる可能性があります。(CVE-2012-0477)
- 「WebGL」と「texImage2D」に関連するエラーが存在するため、アプリケーションをクラッシュさせることができる場合があります。また、通常のオブジェクトで「JSVAL_TO_OBJECT」が使用されている場合は、コードの実行が可能になる場合があります。(CVE-2012-0478)

- 「Atom XML」または「RSS」データが HTTPS 経由でロードされる場合、アドレスバースプーフィングが可能になるため、フィッシング攻撃を引き起こします。(CVE-2012-0479)

ソリューション

Thunderbird 12.0 または以降にアップグレードしてください。

関連情報

https://www.mozilla.org/en-US/security/advisories/mfsa2012-20/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-22/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-23/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-24/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-26/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-27/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-28/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-29/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-30/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-31/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-32/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-33/

プラグインの詳細

深刻度: High

ID: 58896

ファイル名: macosx_thunderbird_12_0.nasl

バージョン: 1.14

タイプ: local

エージェント: macosx

公開日: 2012/4/27

更新日: 2018/7/16

依存関係: macosx_thunderbird_installed.nasl

リスク情報

VPR

リスクファクター: High

スコア: 8.8

CVSS v2

リスクファクター: High

Base Score: 9.3

Temporal Score: 8.1

ベクトル: AV:N/AC:M/Au:N/C:C/I:C/A:C

現状ベクトル: E:H/RL:OF/RC:C

脆弱性情報

CPE: cpe:/a:mozilla:thunderbird

必要な KB アイテム: MacOSX/Thunderbird/Installed

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2012/4/24

脆弱性公開日: 2012/4/24

参照情報

CVE: CVE-2011-1187, CVE-2011-3062, CVE-2012-0467, CVE-2012-0468, CVE-2012-0469, CVE-2012-0470, CVE-2012-0471, CVE-2012-0473, CVE-2012-0474, CVE-2012-0475, CVE-2012-0477, CVE-2012-0478, CVE-2012-0479

BID: 53219, 53220, 53221, 53222, 53223, 53224, 53225, 53227, 53228, 53229, 53230, 53231

CWE: 20, 74, 79, 442, 629, 711, 712, 722, 725, 750, 751, 800, 801, 809, 811, 864, 900, 928, 931, 990