Mozilla Thunderbird < 31.7 の複数の脆弱性
critical Nessus プラグイン ID 83464
言語:
概要
リモート Windows ホストに、複数の脆弱性の影響を受けるメールクライアントがあります。説明
リモート Windows ホストにインストールされている Thunderbird は、 31.7 より前のバージョンです。したがって、次の脆弱性の影響を受けます:- リスナープロセス識別の検証の障害により、内部プロセス通知(IPC)実装に権限昇格脆弱性が存在します。(CVE-2011-3079)
- ブラウザのエンジン内に、複数のメモリ破損の問題が存在します。リモートの攻撃者がこれらを悪用して、メモリを破損させたり、任意のコードを実行する恐れがあります。
(CVE-2015-2708)
- 特定の CSS プロパティと紐づいた SVG グラフィックスをレンダリングする際、ユーザー指定入力の不適当な検証により、SVGTextFrame.cpp にバッファオーバーフローが存在します。リモートの攻撃者がこれを悪用し、任意のコードの実行につながるヒープベースのバッファオーバーフローを引き起こす恐れがあります。(CVE-2015-2710)
- 縦書きテキストが有効な場合の不適当なテキストの処理により、use-after-free エラーが存在します。リモートの攻撃者がこれを悪用し、既に解放されたメモリを逆参照する恐れがあります。
(CVE-2015-2713)
- 圧縮された XML コンテンツを処理する際のユーザー指定入力の不適当な検証により、xmlparse.c の XML_GetBuffer() 関数にバッファオーバーフローが存在します。攻撃者はこれを悪用し、任意のコードの実行につながるバッファオーバーフローを引き起こす恐れがあります。(CVE-2015-2716)
ソリューション
Thunderbird 31.7 または以降にアップグレードしてください。関連情報
https://www.mozilla.org/en-US/security/advisories/mfsa2015-46/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-48/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-51/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-54/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-57/
プラグインの詳細
深刻度: Critical
ID: 83464
ファイル名: mozilla_thunderbird_31_7.nasl
バージョン: 1.8
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2015/5/14
更新日: 2018/7/16
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Critical
Base Score: 10
Temporal Score: 7.4
ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C
現状ベクトル: E:U/RL:OF/RC:C
脆弱性情報
CPE: cpe:/a:mozilla:thunderbird
必要な KB アイテム: Mozilla/Thunderbird/Version
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/5/12
脆弱性公開日: 2012/4/30
参照情報
CVE: CVE-2011-3079, CVE-2015-2708, CVE-2015-2710, CVE-2015-2713, CVE-2015-2716