CentOS 5 / 6：thunderbird（CESA-2012:1483）

high Nessus プラグイン ID 63006

Language:

概要

リモートの CentOS ホストにセキュリティ更新がありません。

説明

複数のセキュリティ問題を修正する更新済みの Thunderbird パッケージが Red Hat Enterprise Linux 5、6 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響が重大だと評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System （CVSS）のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Mozilla Thunderbird はスタンドアロンのメールおよびニュースグループクライアントです。

無効な形式のコンテンツの処理で、いくつかの欠陥が見つかりました。
悪意あるコンテンツが、Thunderbird をクラッシュさせたり、 Thunderbird を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。（CVE-2012-4214、CVE-2012-4215、CVE-2012-4216、 CVE-2012-5829、CVE-2012-5830、CVE-2012-5833、 CVE-2012-5835、CVE-2012-5839、CVE-2012-5840、 CVE-2012-5842）

Thunderbird が GIF（グラフィックスインターチェンジフォーマット）画像を処理する方法で、バッファオーバーフローの欠陥が見つかりました。悪意のある GIF 画像を含まれるコンテンツが、 Thunderbird をクラッシュさせたり、 Thunderbird を実行しているユーザーの権限で任意のコードを実行する可能性があります。
（CVE-2012-4202）

Thunderbird が HZ-GB-2312 文字エンコーディングをデコードする方法で、欠陥が見つかりました。悪意のあるコンテンツが、別のコンテンツの権限で、 Thunderbird に JavaScript コードを実行させる可能性があります。
（CVE-2012-4207）

Thunderbird のロケーションオブジェクトの実装に欠陥が見つかりました。
悪意のあるコンテンツがこの欠陥を利用し、プラグインによって制限されたコンテンツをロードできる可能性があります。（CVE-2012-4209）

クロス生成元ラッパーを実装する方法で、欠陥が見つかりました。
悪意のあるコンテンツがこの欠陥を利用して、クロスサイトスクリプティング攻撃を実行する可能性があります。（CVE-2012-5841）

Thunderbird の evalInSandbox 実装に欠陥が見つかりました。
悪意のあるコンテンツがこの欠陥を利用して、クロスサイトスクリプティング攻撃を実行する可能性があります。（CVE-2012-4201）

Red Hat は、Mozilla プロジェクトがこれらの問題を報告してくれたことに感謝の意を表します。Upstream は、Abhishek Arya、miaubiz、Jesse Ruderman、 Andrew McCreight、Bob Clary、Kyle Huey、Atte Kettunen、Masato Kinugawa、Mariusz Mlynski、Bobby Holley、および moz_bug_r_a4 をこれらの問題の最初の報告者として認識しています。

注：CVE-2012-4202 以外のすべての問題は、特別に細工された HTML メールメッセージでは悪用できません。これは、JavaScript がメールメッセージに対してデフォルトで無効になっているためです。RSS フィードのリモートコンテンツ全体を表示するときなど、Thunderbird でこれらを別の方法で悪用することが可能です。

Thunderbird の全ユーザーは、 Thunderbird version 10.0.11 ESR が含まれるこれらの更新済みパッケージにアップグレードし、この問題を修正する必要があります。
この更新を有効にするには、更新をインストールした後、Thunderbird を再起動する必要があります。