CentOS 5 / 6：thunderbird（CESA-2013:0145）

critical Nessus プラグイン ID 63432

Language:

概要

リモートの CentOS ホストにセキュリティ更新がありません。

説明

複数のセキュリティ問題を修正する更新済みの Thunderbird パッケージが Red Hat Enterprise Linux 5、6 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響が重大だと評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System （CVSS）のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Mozilla Thunderbird はスタンドアロンのメールおよびニュースグループクライアントです。

無効な形式のコンテンツの処理で、いくつかの欠陥が見つかりました。
悪意あるコンテンツが、Thunderbird をクラッシュさせたり、 Thunderbird を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。（CVE-2013-0744、CVE-2013-0746、CVE-2013-0750、CVE-2013-0753、CVE-2013-0754、CVE-2013-0762、CVE-2013-0766、CVE-2013-0767、CVE-2013-0769）

Chrome オブジェクトラッパーの実装方法で、欠陥が見つかりました。
悪意あるコンテンツを利用して、Thunderbird にインストールされているプラグインで Thunderbird に任意のコードを実行させる可能性があります。(CVE-2013-0758)

Thunderbird が URL の値を表示する方法に欠陥があるため、悪意あるコンテンツやユーザーがフィッシング攻撃を実行する可能性があります。
(CVE-2013-0759)

Thunderbird で特定の JavaScript 関数が実装される方法に、情報漏洩の欠陥が見つかりました。攻撃者が、この欠陥を利用して、アドレス空間配置のランダム化（ASLR）やその他のセキュリティの制限をバイパスする可能性があります。(CVE-2013-0748)

Red Hat は、Mozilla プロジェクトがこれらの問題を報告してくれたことに感謝の意を表します。Upstream は、Atte Kettunen 氏、Boris Zbarsky 氏、pa_kt、 regenrecht、Abhishek Arya 氏、Christoph Diehl 氏、Christian Holler 氏、 Mats Palmgren 氏、Chiaki Ishikawa 氏、Mariusz Mlynski 氏、Masato Kinugawa 氏、 Jesse Ruderman 氏をこれらの問題の最初の報告者として認めます。

注：メールメッセージに対して JavaScript がデフォルトで無効になっているため、 CVE-2013-0744、CVE-2013-0753、CVE-2013-0754 を除くすべての問題は、特別に細工された HTML メールメッセージにより悪用されません。RSS フィードのリモートコンテンツ全体を表示するときなど、Thunderbird でこれらを別の方法で悪用することが可能です。

Thunderbird の全ユーザーは、 Thunderbird version 10.0.12 ESR が含まれるこれらの更新済みパッケージにアップグレードし、この問題を修正する必要があります。
この更新を有効にするには、更新をインストールした後、Thunderbird を再起動する必要があります。