Oracle Linux 4：thunderbird（ELSA-2007-1083）

high Nessus プラグイン ID 67616

Language:

概要

リモート Oracle Linux ホストにセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2007:1083 から：

いくつかのセキュリティ問題を修正する更新済みの thunderbird パッケージが Red Hat Enterprise Linux 4 および 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。

Mozilla Thunderbird はスタンドアロンのメールおよびニュースグループクライアントです。

Thunderbird が jar: URI スキームを処理する方法にクロスサイトスクリプティングの欠陥が見つかりました。悪意のある HTML メールメッセージがこの欠陥を利用し、 Thunderbird を実行しているユーザーに対してクロスサイトスクリプティング攻撃を実行する可能性があります。(CVE-2007-5947)

Thunderbird が特定の無効な形式の HTML メールコンテンツを処理する方法にいくつかの欠陥が見つかりました。悪意のあるコンテンツが含まれる HTML メールメッセージが原因で、Thunderbird がクラッシュしたり、 Thunderbird を実行しているユーザーとして任意のコードが実行されたりする可能性があります。(CVE-2007-5959)

Thunderbird が HTML メールコンテンツを表示するときに「window.location」プロパティを設定するときに競合状態が存在します。この欠陥により、HTML メールメッセージが任意の Referer ヘッダーを設定し、これより、保護のために Referer ヘッダーに依存している Web サイトに対してクロスサイトリクエスト偽造（CSRF）攻撃が実行される可能性があります。(CVE-2007-5960)

thunderbird の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を解決することが推奨されます。