Oracle Linux 6：thunderbird（ELSA-2013-0272）

high Nessus プラグイン ID 68733

Language:

概要

リモート Oracle Linux ホストにセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2013:0272 から：

複数のセキュリティ問題を修正する更新済みの Thunderbird パッケージが Red Hat Enterprise Linux 5、6 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響が重大だと評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System （CVSS）のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Mozilla Thunderbird はスタンドアロンのメールおよびニュースグループクライアントです。

無効な形式のコンテンツの処理で、いくつかの欠陥が見つかりました。
悪意あるコンテンツが、Thunderbird をクラッシュさせたり、 Thunderbird を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。（CVE-2013-0775、CVE-2013-0780、CVE-2013-0782、 CVE-2013-0783）

プロキシサーバーの認証プロンプトをキャンセルすると、アドレスバーが、リクエストされたサイトのアドレスを表示し続けていたことが判明しました。攻撃者がこの欠陥を悪用して、ユーザーをだまし、信頼されているコンテンツを表示していると思わせることでフィッシング攻撃を行うことができます。
(CVE-2013-0776)

Red Hat は、Mozilla プロジェクトがこれらの問題を報告してくれたことに感謝の意を表します。Upstream では、これらの問題のオリジナルの報告者として Nils 氏、Abhishek Arya 氏、Olli Pettay 氏、Christoh Diehl 氏、Gary Kwong 氏、 Jesse Ruderman 氏、Andrew McCreight 氏、Joe Drew 氏、Wayne Mery 氏、 Michal Zalewski 氏を認識しています。

注：すべての問題は、特別に細工された HTML メールメッセージで悪用できません。その理由は、メールメッセージに対して JavaScript がデフォルトで無効になっているからです。RSS フィードのリモートコンテンツ全体を表示するときなど、Thunderbird でこれらを別の方法で悪用することが可能です。

重要：このエラータは、バージョン 17.0.3 ESR に Thunderbird をアップグレードします。
Thunderbird 17 には、Thunderbird 10.0 で作動していたすべての Mozilla アドオンおよび Thunderbird プラグインとの完全な下位互換性はありません。
Thunderbird 17 では、最初の起動時に互換性がチェックされます。その際、個々の構成、インストールされているアドオンおよびプラグインによって異なりますが、これらのアドオンおよびプラグインが無効になることや、これらの更新やアップグレードのチェックが試行されることがあります。その場合、アドオンおよびプラグインは、手動で更新する必要があります。

Thunderbird の全ユーザーは、 Thunderbird version 17.0.3 ESR が含まれるこれらの更新済みパッケージにアップグレードし、この問題を修正する必要があります。
この更新を有効にするには、更新をインストールした後、Thunderbird を再起動する必要があります。