CentOS 5 / 6：thunderbird（CESA-2013: 0272）

high Nessus プラグイン ID 64729

Language:

概要

リモートのCentOSホストにセキュリティ更新プログラムがありません。

説明

いくつかのセキュリティの問題を修正する更新済みのthunderbirdパッケージが、 Red Hat Enterprise Linux 5および6で現在利用可能です。

Red Hatセキュリティレスポンスチームは、この更新によるセキュリティ上の影響が重要度最高だと評価しています。詳細な重要度の評価を提供するCommon Vulnerability Scoring System（CVSS）のベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに確認できます。

Mozilla Thunderbirdはスタンドアロンのメールおよびニュースグループクライアントです。

無効な形式のコンテンツの処理で、いくつかの欠陥が見つかりました。
悪意のあるコンテンツにより、Thunderbirdがクラッシュすることや、 Thunderbirdを実行しているユーザーの権限で、任意のコードが実行される可能性があります。（CVE-2013-0775、CVE-2013-0780、CVE-2013-0782、CVE-2013-0783）

プロキシサーバーの認証プロンプトをキャンセルすると、アドレスバーが、リクエストされたサイトのアドレスを表示し続けていたことが判明しました。攻撃者がこの欠陥を悪用して、ユーザーをだまし、信頼されているコンテンツを表示していると思わせることでフィッシング攻撃を行うことができます。
（CVE-2013-0776）

Red Hatは、これらの問題を報告してくれたMozillaプロジェクトに感謝の意を表します。Upstreamでは、これらの問題のオリジナルの報告者として Nils 氏、Abhishek Arya 氏、Olli Pettay 氏、Christoh Diehl 氏、Gary Kwong 氏、Jesse Ruderman 氏、Andrew McCreight 氏、Joe Drew 氏、Wayne Mery 氏、Michal Zalewski 氏を認識しています。

注意：すべての問題は、特別に細工された HTML メールメッセージで悪用できません。その理由は、メールメッセージに対して JavaScript がデフォルトで無効になっているからです。RSS フィードのリモートコンテンツ全体を表示するときなど、Thunderbird でこれらを別の方法で悪用することが可能です。

重要度高：このエラータは、バージョン 17.0.3 ESR に Thunderbird をアップグレードします。
Thunderbird 17 には、Thunderbird 10.0 で作動していたすべての Mozilla アドオンおよび Thunderbird プラグインとの完全な下位互換性はありません。
Thunderbird 17 では、最初の起動時に互換性がチェックされます。その際、個々の構成、インストールされているアドオンおよびプラグインによって異なりますが、これらのアドオンおよびプラグインが無効になることや、これらの更新やアップグレードのチェックが試行されることがあります。その場合、アドオンおよびプラグインは、手動で更新する必要があります。

Thunderbird の全ユーザーは、Thunderbird version 17.0.3 ESR が含まれるこれらの更新済みパッケージにアップグレードし、この問題を修正する必要があります。
この更新を有効にするには、更新をインストールした後、Thunderbird を再起動する必要があります。