Scientific Linux セキュリティ更新：SL5.x、SL6.x i386/x86_64 の thunderbird

critical Nessus プラグイン ID 63020

Language:

概要

リモート Scientific Linux ホストに、セキュリティ更新がありません。

説明

無効な形式のコンテンツの処理で、いくつかの欠陥が見つかりました。
悪意あるコンテンツが、Thunderbird をクラッシュさせたり、 Thunderbird を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。（CVE-2012-4214、CVE-2012-4215、CVE-2012-4216、 CVE-2012-5829、CVE-2012-5830、CVE-2012-5833、 CVE-2012-5835、CVE-2012-5839、CVE-2012-5840、 CVE-2012-5842）

Thunderbird が GIF（グラフィックスインターチェンジフォーマット）画像を処理する方法で、バッファオーバーフローの欠陥が見つかりました。悪意のある GIF 画像を含まれるコンテンツが、 Thunderbird をクラッシュさせたり、 Thunderbird を実行しているユーザーの権限で任意のコードを実行する可能性があります。
（CVE-2012-4202）

Thunderbird が HZ-GB-2312 文字エンコーディングをデコードする方法で、欠陥が見つかりました。悪意のあるコンテンツが、別のコンテンツの権限で、 Thunderbird に JavaScript コードを実行させる可能性があります。
（CVE-2012-4207）

Thunderbird のロケーションオブジェクトの実装に欠陥が見つかりました。
悪意のあるコンテンツがこの欠陥を利用し、プラグインによって制限されたコンテンツをロードできる可能性があります。（CVE-2012-4209）

クロス生成元ラッパーを実装する方法で、欠陥が見つかりました。
悪意のあるコンテンツがこの欠陥を利用して、クロスサイトスクリプティング攻撃を実行する可能性があります。（CVE-2012-5841）

Thunderbird の evalInSandbox 実装に欠陥が見つかりました。
悪意のあるコンテンツがこの欠陥を利用して、クロスサイトスクリプティング攻撃を実行する可能性があります。（CVE-2012-4201）

注：CVE-2012-4202 以外のすべての問題は、特別に細工された HTML メールメッセージでは悪用できません。これは、JavaScript がメールメッセージに対してデフォルトで無効になっているためです。RSS フィードのリモートコンテンツ全体を表示するときなど、Thunderbird でこれらを別の方法で悪用することが可能です。

この更新を有効にするには、更新をインストールした後、Thunderbird を再起動する必要があります。