Ubuntu 12.04 LTS / 12.10 / 13.04 / 13.10：Thunderbird の脆弱性（USN-2053-1）

critical Nessus プラグイン ID 71375

Language:

概要

リモート Ubuntu ホストにセキュリティ関連パッチがありません。

説明

Ben Turner 氏、Bobby Holley 氏、Jesse Ruderman 氏、Christian Holler 氏が、Thunderbird の複数のメモリ安全の問題を発見しました。ユーザーが騙されて、スクリプティングが有効な状態で特別に細工されたメッセージを開くと、攻撃者はこれを悪用して、アプリケーションをクラッシュしてサービス拒否を引き起こすことや、Thunderbird を呼び出しているユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-5609)

Tyson Smith 氏および Jesse Schwartzentruber 氏は、イベントリスナーに use-after-free があることを発見しました。ユーザーがスクリプティングを有効にしていると、攻撃者はこれを悪用して、アプリケーションのクラッシュによりサービス拒否を引き起こす可能性や、Thunderbird を呼び出しているユーザーの権限で、任意のコードを実行する可能性があります。(CVE-2013-5616)

テーブル編集インターフェイスに use-after-free が発見されました。攻撃者が、これを悪用して、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、Thunderbird を起動しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2013-5618)

Tyson Smith 氏および Jesse Schwartzentruber 氏は、スクリプトを使用して順序付けされたリストをドキュメントに挿入する際のクラッシュを発見しました。ユーザーがスクリプティングを有効にしている場合、攻撃者が、これを悪用して、Thunderbird を起動しているユーザーの権限で任意のコードを実行する可能性があります。(CVE-2013-6671)

Sijie Xia 氏は、内蔵 EV ルート証明書に対する信頼の設定が、特定の状況で無視されることを発見しました。これにより、ユーザーは特定機関からの証明書を手動で信頼できないものとすることができなくなくなります。(CVE-2013-6673)

Tyson Smith 氏、Jesse Schwartzentruber 氏および Atte Kettunen 氏は、人工的なマウスの動きを処理する関数に use-after-free を発見しました。ユーザーがスクリプティングを有効にしていると、攻撃者はこれを悪用して、アプリケーションのクラッシュによりサービス拒否を引き起こす可能性や、Thunderbird を呼び出しているユーザーの権限で、任意のコードを実行する可能性があります。
(CVE-2013-5613)

Eric Faust 氏は、GetElementIC 型配列スタブを、観測されたタイプセット外で生成できることを発見しました。ユーザーがスクリプティングを有効にしている場合、攻撃者がこれを悪用して、セキュリティに影響を与える可能性がある未定義の挙動を引き起こす可能性があります。(CVE-2013-5615)

Michal Zalewski 氏は、JPEG 画像処理にいくつかの問題を発見しました。攻撃者がこれらを悪用して機密情報を入手する可能性があります。（CVE-2013-6629、 CVE-2013-6630）。

ソリューション

影響を受ける thunderbird パッケージを更新してください。

参考資料

https://usn.ubuntu.com/2053-1/

プラグインの詳細

深刻度: Critical

ID: 71375

ファイル名: ubuntu_USN-2053-1.nasl

バージョン: 1.10

タイプ: local

エージェント: unix

ファミリー: Ubuntu Local Security Checks

公開日: 2013/12/12

更新日: 2019/9/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:canonical:ubuntu_linux:thunderbird, cpe:/o:canonical:ubuntu_linux:12.04:-:lts, cpe:/o:canonical:ubuntu_linux:12.10, cpe:/o:canonical:ubuntu_linux:13.04, cpe:/o:canonical:ubuntu_linux:13.10

必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/12/11

脆弱性公開日: 2013/11/18

参照情報

CVE: CVE-2013-5609, CVE-2013-5613, CVE-2013-5615, CVE-2013-5616, CVE-2013-5618, CVE-2013-6629, CVE-2013-6630, CVE-2013-6671, CVE-2013-6673

BID: 64203, 64204, 64209, 64211, 64216

USN: 2053-1