Ubuntu 12.04 LTS / 12.10 / 13.04 / 13.10:Thunderbird の脆弱性(USN-2010-1)
critical Nessus プラグイン ID 70725
Language:
概要
リモート Ubuntu ホストにセキュリティ関連パッチがありません。説明
複数のメモリの安全性に関する問題が Thunderbird で発見されました。ユーザーをだまして特別に細工され、スクリプティングが有効にされたメッセージを開かせると、攻撃者は、これを悪用して、アプリケーションをクラッシュさせ、サービス拒否を引き起こすことや、 Thunderbird を起動しているユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-1739、 CVE-2013-5590、CVE-2013-5591)
Jordi Chancel 氏は、HTML 選択要素が任意のコンテンツを表示する可能性があることを発見しました。ユーザーがスクリプティングを有効にした場合、攻撃者がこれを悪用して URL なりすましやクリックジャッキング攻撃を実行する可能性があります。(CVE-2013-5593)
Abhishek Arya 氏は、ある状況において、XSLT データを処理する際にクラッシュが発生することを発見しました。ユーザーがスクリプティングを有効にしている場合、攻撃者が、これを悪用して、 Thunderbird を起動しているユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-5604)
Dan Gohman 氏は、JavaScript エンジンに欠陥があることを発見しました。ユーザーがスクリプティングを有効にしている場合、他の脆弱性と組み合わせることにより、攻撃者がこれを悪用して、Thunderbird を呼び出しているユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-5595)
Ezra Pool 氏は、極端に大きなページでクラッシュが発生することを発見しました。ユーザーがスクリプティングを有効にしている場合、攻撃者が、これを悪用して、 Thunderbird を起動しているユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-5596)
Byoungyoung Lee 氏は、オフラインキャッシュを更新する際に use-after-free があることを発見しました。ユーザーがスクリプティングを有効にしていると、攻撃者はこれを悪用して、アプリケーションのクラッシュによりサービス拒否を引き起こす可能性や、Thunderbird を呼び出しているユーザーの権限で、任意のコードを実行する可能性があります。(CVE-2013-5597)
Thunderbird で複数の use-after-free 欠陥が発見されました。ユーザーがスクリプティングを有効にしていると、攻撃者はこれらを悪用して、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、Thunderbird を呼び出しているユーザーの権限で、任意のコードを実行する可能性があります。
(CVE-2013-5599、 CVE-2013-5600、CVE-2013-5601)
ダイレクトプロキシでワーカーを使用する際に、JavaScript エンジンにメモリ破損の欠陥があることが発見されました。ユーザーがスクリプティングを有効にしていると、攻撃者はこれを悪用して、アプリケーションのクラッシュによりサービス拒否を引き起こす可能性や、Thunderbird を呼び出しているユーザーの権限で、任意のコードを実行する可能性があります。(CVE-2013-5602)
Abhishek Arya 氏は、HTML ドキュメントテンプレートと相互作用する際に use-after-free があることを発見しました。ユーザーがスクリプティングを有効にしていると、攻撃者はこれを悪用して、アプリケーションのクラッシュによりサービス拒否を引き起こす可能性や、Thunderbird を呼び出しているユーザーの権限で、任意のコードを実行する可能性があります。(CVE-2013-5603)。
ソリューション
影響を受ける thunderbird パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 70725
ファイル名: ubuntu_USN-2010-1.nasl
バージョン: 1.19
タイプ: local
エージェント: unix
ファミリー: Ubuntu Local Security Checks
公開日: 2013/11/1
更新日: 2019/9/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:canonical:ubuntu_linux:thunderbird, cpe:/o:canonical:ubuntu_linux:12.04:-:lts, cpe:/o:canonical:ubuntu_linux:12.10, cpe:/o:canonical:ubuntu_linux:13.04, cpe:/o:canonical:ubuntu_linux:13.10
必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/10/31
脆弱性公開日: 2013/10/22
参照情報
CVE: CVE-2013-1739, CVE-2013-5590, CVE-2013-5591, CVE-2013-5593, CVE-2013-5595, CVE-2013-5596, CVE-2013-5597, CVE-2013-5599, CVE-2013-5600, CVE-2013-5601, CVE-2013-5602, CVE-2013-5603, CVE-2013-5604
BID: 62966, 63415, 63416, 63417, 63420, 63421, 63422, 63423, 63424, 63427, 63428, 63429, 63430
USN: 2010-1