Thunderbird 16.x の複数の脆弱性(Mac OS X)

critical Nessus プラグイン ID 62996
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Mac OS X ホストに含まれているメールクライアントは、いくつかの脆弱性による影響を受けます。

説明

インストールされている Thunderbird 16.x のバージョンは、以下のセキュリティ問題の影響を受ける可能性があります:

- Mozilla ベースの製品で使用されているブラウザエンジンに存在ているいくつかのメモリ安全性のバグが悪用されることにより、任意のコードが実行される可能性があります。(CVE-2012-5842、CVE-2012-5843)

- GIF 画像に関連するメソッド「image::RasterImage::DrawFrameTo」にヒープベースのバッファオーバーフローを引き起こすエラーがあり、任意のコードの実行につながる可能性があります。(CVE-2012-4202)

- SVG テキストおよび CSS プロパティにアプリケーションのクラッシュを引き起こす可能性があるエラーが存在します。(CVE-2012-5836)

- JavaScript 関数「str_unescape」によって、任意のコードが実行される可能性があります。(CVE-2012-4204)

- サンドボックスでの作成時に、「XMLHttpRequest」オブジェクトが間違ったプリンシパルを継承し、これが、クロスサイトリクエスト偽造攻撃(CSRF)を引き起こす可能性があります。(CVE-2012-4205)

- 「XrayWrappers」が、chrome コンパートメントの外部ではアクセスできないはずの DOM プロパティを露出させる可能性があります。(CVE-2012-4208)

- 「evalInSandbox」、「HZ-GB-2312」charset、フレームおよび「location」オブジェクト、「クロス生成元ラッパー」にエラーがあり、クロスサイトスクリプティング(XSS)攻撃攻撃になる可能性があります。(CVE-2012-4201、CVE-2012-4207、CVE-2012-4209 CVE-2012-5841)

- さまざまな use-after-free、領域外読み取り、バッファオーバーフローのエラーがあり、任意のコードの実行を引き起こす可能性があります。(CVE-2012-4212、CVE-2012-4213、 CVE-2012-4214、CVE-2012-4215、CVE-2012-4216、 CVE-2012-4217、CVE-2012-4218、CVE-2012-5829、 CVE-2012-5830、CVE-2012-5833、CVE-2012-5835、 CVE-2012-5838、CVE-2012-5839、CVE-2012-5840)

ソリューション

Thunderbird 17.0 または以降にアップグレードしてください。

関連情報

https://www.mozilla.org/en-US/security/advisories/mfsa2012-91/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-92/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-93/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-100/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-101/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-103/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-105/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-106/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-94/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-96/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-97/

https://www.mozilla.org/en-US/security/advisories/mfsa2012-99/

プラグインの詳細

深刻度: Critical

ID: 62996

ファイル名: macosx_thunderbird_17_0.nasl

バージョン: 1.19

タイプ: local

エージェント: macosx

公開日: 2012/11/21

更新日: 2019/12/4

依存関係: macosx_thunderbird_installed.nasl

リスク情報

CVSS スコアのソース: CVE-2012-5843

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: CVSS2#E:POC/RL:OF/RC:C

脆弱性情報

CPE: cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*

必要な KB アイテム: MacOSX/Thunderbird/Installed

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2012/11/20

脆弱性公開日: 2012/11/20

参照情報

CVE: CVE-2012-4201, CVE-2012-4202, CVE-2012-4204, CVE-2012-4205, CVE-2012-4207, CVE-2012-4208, CVE-2012-4209, CVE-2012-4212, CVE-2012-4213, CVE-2012-4214, CVE-2012-4215, CVE-2012-4216, CVE-2012-4217, CVE-2012-4218, CVE-2012-5829, CVE-2012-5830, CVE-2012-5833, CVE-2012-5835, CVE-2012-5836, CVE-2012-5838, CVE-2012-5839, CVE-2012-5840, CVE-2012-5841, CVE-2012-5842, CVE-2012-5843

BID: 56611, 56612, 56613, 56614, 56616, 56618, 56621, 56628, 56629, 56633, 56636, 56642, 56643, 56637, 56635, 56631, 56632, 56634, 56627, 56630, 56638, 56639, 56640, 56641, 56644

CWE: 20, 79, 74, 442, 629, 711, 712, 722, 725, 750, 751, 800, 801, 809, 811, 864, 900, 928, 931, 990