Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Thunderbird
(0.6, 0.7, 0.7.1, 0.7.2, 0.7.3, 0.9)
evolution
(Unknown)
Описание
Thunderbird и Mozilla не учитывают значение опции network.cookie.disableCookieForMailNews, что может позволить злоумышленникам, действующим удаленно, обойти режим пользовательской защиты и настройки безопасности, используя cookies в электронных сообщениях.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.mozilla.org/products/
Как временное решение производитель рекомендует настроить почтовый клиент таким образом, чтобы он не загружал удаленный контент вообще (это стандартные настройки Thunderbird, опция "View as Simple text" в Mozilla Suite).
http://www.mozilla.org/products/
Как временное решение производитель рекомендует настроить почтовый клиент таким образом, чтобы он не загружал удаленный контент вообще (это стандартные настройки Thunderbird, опция "View as Simple text" в Mozilla Suite).
Ссылки
CONFIRM (http://www.mozilla.org/security/announce/mfsa2005-11.html): http://www.mozilla.org/security/announce/mfsa2005-11.html
CONFIRM (https://bugzilla.mozilla.org/show_bug.cgi?id=268107): https://bugzilla.mozilla.org/show_bug.cgi?id=268107
REDHAT (RHSA-2005:094): http://www.redhat.com/support/errata/RHSA-2005-094.html
REDHAT (RHSA-2005:323): http://www.redhat.com/support/errata/RHSA-2005-323.html
REDHAT (RHSA-2005:335): http://www.redhat.com/support/errata/RHSA-2005-335.html
XF (mozilla-cookie-policy-bypass(19172)): http://xforce.iss.net/xforce/xfdb/19172
OVAL (OVAL100047): http://oval.mitre.org/oval/definitions/data/oval100047.html
SUSE (SUSE-SA:2006:022): http://www.novell.com/linux/security/advisories/2006_04_25.html
BID (12407): http://www.securityfocus.com/bid/12407
OVAL (oval:org.mitre.oval:def:100047): http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:100047
CONFIRM (https://bugzilla.mozilla.org/show_bug.cgi?id=268107): https://bugzilla.mozilla.org/show_bug.cgi?id=268107
REDHAT (RHSA-2005:094): http://www.redhat.com/support/errata/RHSA-2005-094.html
REDHAT (RHSA-2005:323): http://www.redhat.com/support/errata/RHSA-2005-323.html
REDHAT (RHSA-2005:335): http://www.redhat.com/support/errata/RHSA-2005-335.html
XF (mozilla-cookie-policy-bypass(19172)): http://xforce.iss.net/xforce/xfdb/19172
OVAL (OVAL100047): http://oval.mitre.org/oval/definitions/data/oval100047.html
SUSE (SUSE-SA:2006:022): http://www.novell.com/linux/security/advisories/2006_04_25.html
BID (12407): http://www.securityfocus.com/bid/12407
OVAL (oval:org.mitre.oval:def:100047): http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:100047