Oracle Linux 4：thunderbird（ELSA-2008-0105）

high Nessus プラグイン ID 67649

Language:

概要

リモート Oracle Linux ホストにセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2008:0105 から：

いくつかのセキュリティ問題を修正する更新済みの thunderbird パッケージが Red Hat Enterprise Linux 4 および 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新には重大なセキュリティインパクトがあるものとして評価しています。

[2008 年 2 月 27 日に更新] エラータテキストは更新され、これには追加の問題の詳細が含まれています。これらの問題は、これらのエラータパッケージで修正されましたが、リリース時には公表されませんでした。パッケージは変更されていません。

Mozilla Thunderbird はスタンドアロンのメールおよびニュースグループクライアントです。

外部本文の Multipurpose Internet Message Extensions（MIME）タイプのメッセージを Thunderbird が処理する方法で、ヒープベースのバッファオーバーフローの欠陥が見つかりました。悪意のあるコンテンツが含まれる HTML メールメッセージにより、Thunderbird を実行しているユーザーとして Thunderbird が任意のコードを実行する可能性があります。(CVE-2008-0304)

Thunderbird が特定の無効な形式の HTML メールコンテンツを処理する方法にいくつかの欠陥が見つかりました。悪意のあるコンテンツが含まれる HTML メールメッセージが原因で、Thunderbird がクラッシュしたり、 Thunderbird を実行しているユーザーとして任意のコードが実行されたりする可能性があります。（CVE-2008-0412、CVE-2008-0413、CVE-2008-0415、 CVE-2008-0419）

Thunderbird が無効な形式の HTML メールコンテンツを表示する方法で、いくつかの欠陥が見つかりました。特別に細工されたコンテンツを含む HTML メールメッセージを使って、ユーザーを騙し、機密情報を提供させる可能性があります。
（CVE-2008-0420、 CVE-2008-0591、CVE-2008-0593）

Thunderbird が特定の Chrome URL を処理する方法で、欠陥が見つかりました。
ユーザーが特定の拡張をインストールしている場合、これにより、悪意ある HTML メールメッセージに機密セッションデータを盗まれる可能性があります。注：この欠陥は、Thunderbird をデフォルトでインストールしている場合には影響を与えません。(CVE-2008-0418)

注：JavaScript サポートは Thunderbird ではデフォルトで無効です。上述の問題は JavaScript が有効になるまで実行不可です。

Thunderbird が特定のテキストファイルを保存する方法で、欠陥が見つかりました。リモートサイトが「text/plain」ではなく「plain/text」のタイプのファイルを提供する場合、Thunderbird はその後ユーザーに「text/plain」コンテンツを表示しません。このコンテンツを表示するためには、ユーザーはこのファイルをローカルに保存する必要があります。(CVE-2008-0592)

thunderbird のユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を解決することが推奨されます。