Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Описание
Mozilla Thunderbird и SeaMonkey с включенной функцией "Load images" позволяют злоумышленникам, действующим удаленно, игнорировать опцию, отключающую выполнение JavaScript-сценариев, с помощью сообщения, содержащего XBL-файл. Этот файл загружается, когда пользователь просматривает, пересылает или отвечает на исходное письмо. Для эксплуатации уязвимости необходимы активные действия со стороны пользователя.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.mozilla.org/products/
Рекомендации производителя:
Для решения этой проблемы можно избежать, если не просматривать почтовые сообщения в формате HTML.Используйте опции "Simple HTML" или обычный текст в меню View "Message Body As". Кроме того, при пересылке сообщения или ответе на него отключите опцию "Compose messages in HTML format" в настройках учетной записи, чтобы использовать обычный редактор текстов.
http://www.mozilla.org/products/
Рекомендации производителя:
Для решения этой проблемы можно избежать, если не просматривать почтовые сообщения в формате HTML.Используйте опции "Simple HTML" или обычный текст в меню View "Message Body As". Кроме того, при пересылке сообщения или ответе на него отключите опцию "Compose messages in HTML format" в настройках учетной записи, чтобы использовать обычный редактор текстов.
Ссылки
http://www.mozilla.org/security/announce/2006/mfsa2006-63.html
REDHAT (RHSA-2006:0676): http://www.redhat.com/support/errata/RHSA-2006-0676.html
REDHAT (RHSA-2006:0677): http://www.redhat.com/support/errata/RHSA-2006-0677.html
BID (20042): http://www.securityfocus.com/bid/20042
SECTRACK (1016866): http://securitytracker.com/id?1016866
SECTRACK (1016867): http://securitytracker.com/id?1016867
XF (thunderbird-seamonkey-xbl-code-execution(28962)): http://xforce.iss.net/xforce/xfdb/28962
SGI (20060901-01-P): ftp://patches.sgi.com/support/free/security/advisories/20060901-01-P.asc
UBUNTU (USN-350-1): http://www.ubuntu.com/usn/usn-350-1
MANDRIVA (MDKSA-2006:169): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:169
SUSE (SUSE-SA:2006:054): http://www.novell.com/linux/security/advisories/2006_54_mozilla.html
UBUNTU (USN-352-1): http://www.ubuntu.com/usn/usn-352-1
DEBIAN (DSA-1191): http://www.us.debian.org/security/2006/dsa-1191
GENTOO (GLSA-200610-01): http://security.gentoo.org/glsa/glsa-200610-01.xml
DEBIAN (DSA-1192): http://www.debian.org/security/2006/dsa-1192
GENTOO (GLSA-200610-04): http://security.gentoo.org/glsa/glsa-200610-04.xml
UBUNTU (USN-361-1): http://www.ubuntu.com/usn/usn-361-1
REDHAT (RHSA-2006:0676): http://www.redhat.com/support/errata/RHSA-2006-0676.html
REDHAT (RHSA-2006:0677): http://www.redhat.com/support/errata/RHSA-2006-0677.html
BID (20042): http://www.securityfocus.com/bid/20042
SECTRACK (1016866): http://securitytracker.com/id?1016866
SECTRACK (1016867): http://securitytracker.com/id?1016867
XF (thunderbird-seamonkey-xbl-code-execution(28962)): http://xforce.iss.net/xforce/xfdb/28962
SGI (20060901-01-P): ftp://patches.sgi.com/support/free/security/advisories/20060901-01-P.asc
UBUNTU (USN-350-1): http://www.ubuntu.com/usn/usn-350-1
MANDRIVA (MDKSA-2006:169): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:169
SUSE (SUSE-SA:2006:054): http://www.novell.com/linux/security/advisories/2006_54_mozilla.html
UBUNTU (USN-352-1): http://www.ubuntu.com/usn/usn-352-1
DEBIAN (DSA-1191): http://www.us.debian.org/security/2006/dsa-1191
GENTOO (GLSA-200610-01): http://security.gentoo.org/glsa/glsa-200610-01.xml
DEBIAN (DSA-1192): http://www.debian.org/security/2006/dsa-1192
GENTOO (GLSA-200610-04): http://security.gentoo.org/glsa/glsa-200610-04.xml
UBUNTU (USN-361-1): http://www.ubuntu.com/usn/usn-361-1
