Mozilla Thunderbird < 31.1 の複数の脆弱性(Mac OS X)

critical Nessus プラグイン ID 77497

概要

リモート Mac OS X ホストに、複数の脆弱性の影響を受けるメールクライアントがあります。

説明

リモート Mac OS X ホストにインストールされている Thunderbird のバージョンは、 31.1 より前のバージョンです。したがって、次の脆弱性の影響を受けます:

- ブラウザエンジン内に複数のメモリセキュリティ欠陥が存在します。攻撃者は、これを悪用して、サービス拒否を引き起こすことや、任意のコードを実行することがあります。(CVE-2014-1553、CVE-2014-1562)

- アニメーション SVG コンテンツを処理する際のサイクルコレクションが不適切であるため、use-after-free 脆弱性が存在します。
リモートの攻撃者がこれを悪用して、サービス拒否を引き起こすことや、任意のコードを実行することがあります。(CVE-2014-1563)

- GIF レンダリング時に、メモリが適切に初期化されません。
リモートの攻撃者がこれを悪用し、特別に細工された Web スクリプトも使用して、プロセスメモリから機密情報を取得する可能性があります。(CVE-2014-1564)

- Web Audio API に、オーディオタイムラインが適切に作成された欠陥が含まれています。リモートの攻撃者が特別に細工された API 呼び出しを使用してこれを悪用し、プロセスメモリから機密情報を取得することや、サービス拒否を引き起こすことがあります。(CVE-2014-1565)

- 方向設定でのテキストレイアウトの不適切な処理により、use-after-free 脆弱性が存在します。
リモートの攻撃者がこれを悪用し、任意のコードを実行する恐れがあります。(CVE-2014-1567)

ソリューション

Thunderbird 31.1 または以降にアップグレードしてください。

参考資料

http://www.securityfocus.com/archive/1/533357/30/0/threaded

https://www.mozilla.org/security/announce/2014/mfsa2014-67.html

https://www.mozilla.org/security/announce/2014/mfsa2014-68.html

https://www.mozilla.org/security/announce/2014/mfsa2014-69.html

https://www.mozilla.org/security/announce/2014/mfsa2014-70.html

https://www.mozilla.org/security/announce/2014/mfsa2014-72.html

プラグインの詳細

深刻度: Critical

ID: 77497

ファイル名: macosx_thunderbird_31_1.nasl

バージョン: 1.8

タイプ: local

エージェント: macosx

公開日: 2014/9/3

更新日: 2019/11/25

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2014-1563

脆弱性情報

CPE: cpe:/a:mozilla:thunderbird

必要な KB アイテム: MacOSX/Thunderbird/Installed

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2014/9/2

脆弱性公開日: 2014/9/2

参照情報

CVE: CVE-2014-1553, CVE-2014-1562, CVE-2014-1563, CVE-2014-1564, CVE-2014-1565, CVE-2014-1567

BID: 69519, 69520, 69521, 69523, 69524, 69525