Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
thunderbird
(any)
Описание
Mozilla Thunderbird - это агент для доступа к почте и группам новостей.
Ошибки обнаружены при обработке некоторого HTML-контента электронной почты. HTML-сообщение электронной почты, содержащее вредоносный контент, может вызвать аварийное завершение работы Thunderbird или позволит выполнить произвольный код с привилегиями пользователя, который запустил Thunderbird. (CVE-2009-2462, CVE-2009-2463, CVE-2009-2466, CVE-2009-3072, CVE-2009-3075, CVE-2009-3380, CVE-2009-3979, CVE-2010-0159)
Уязвимость "использование после освобождение" обнаружена в Thunderbird. Злоумышленник может использовать данную уязвимость, чтобы вызвать аварийное завершение работы Thunderbird или выполнить произвольный код с привилегиями пользователя, который запустил Thunderbird. (CVE-2009-3077)
Уязвимость, связанная с переполнение буфера в динамической памяти, обнаружена при конвертации строки в значение с плавающей точкой в Thunderbird. HTML-сообщение электронной почты, содержащие вредоносный JavaScript-код, может вызвать аварийное завершение работы Thunderbird или позволит выполнить произвольный код с привилегиями пользователя, который запустил Thunderbird.
(CVE-2009-0689)
Уязвимость "использование после освобождения" обнаружена в Thunderbird. В условиях небольшого объема свободной памяти просмотр HTML-сообщения электронной почты может привести к выполнению произвольного кода в Thunderbird с привилегиями пользователя, который запустил Thunderbird. (CVE-2009-1571)
Ошибка обнаружена в Thunderbird при создании имен временных файлов при скачивании файлов. Если злоумышленник, действующий локально, знает имя файла, который будет скачен через Thunderbird, то он может заменить содержимое этого файла на произвольное содержимое. (CVE-2009-3274)
Ошибка обнаружена в Thunderbird при отображении некоторых символов при скачивании файла. В таких случаях имя, отображаемое в строке имени, отличается от имени, отображаемого в теле диалога. Злоумышленник может использовать данную уязвимость, чтобы заставить пользователя загрузить файл, который имеет имя или расширение, отличное от того, что ожидает пользователь.(CVE-2009-3376)
Ошибка обнаружена в Thunderbird при обработке ответов SOCKS5 proxy. Сервер SOCKS5 злоумышленника может отправить специально сформированный ответ, который вызовет аварийное завершение работы Thunderbird. (CVE-2009-2470)
Описания в диалогах добавления и удаления модулей PKCS #11 не информативны. Злоумышленник может заставить пользователя установить вредоносный модуль PKCS #11 и использовать данную уязвимость, чтобы установить свой сертификат удостоверяющего центра (Certificate Authority) на компьютере пользователя, что заставит пользователя поверить, что он просматривает доверенный контент или позволит выполнить произвольный код с привилегиями пользователя, запустившего
Thunderbird. (CVE-2009-3076)
Пользователям Thunderbird рекомендуется обновить программное обеспечение, чтобы решить указанную проблему. Необходимо перезапустить все запущенные экземпляры Thunderbird, чтобы изменения вступили в силу.
Ошибки обнаружены при обработке некоторого HTML-контента электронной почты. HTML-сообщение электронной почты, содержащее вредоносный контент, может вызвать аварийное завершение работы Thunderbird или позволит выполнить произвольный код с привилегиями пользователя, который запустил Thunderbird. (CVE-2009-2462, CVE-2009-2463, CVE-2009-2466, CVE-2009-3072, CVE-2009-3075, CVE-2009-3380, CVE-2009-3979, CVE-2010-0159)
Уязвимость "использование после освобождение" обнаружена в Thunderbird. Злоумышленник может использовать данную уязвимость, чтобы вызвать аварийное завершение работы Thunderbird или выполнить произвольный код с привилегиями пользователя, который запустил Thunderbird. (CVE-2009-3077)
Уязвимость, связанная с переполнение буфера в динамической памяти, обнаружена при конвертации строки в значение с плавающей точкой в Thunderbird. HTML-сообщение электронной почты, содержащие вредоносный JavaScript-код, может вызвать аварийное завершение работы Thunderbird или позволит выполнить произвольный код с привилегиями пользователя, который запустил Thunderbird.
(CVE-2009-0689)
Уязвимость "использование после освобождения" обнаружена в Thunderbird. В условиях небольшого объема свободной памяти просмотр HTML-сообщения электронной почты может привести к выполнению произвольного кода в Thunderbird с привилегиями пользователя, который запустил Thunderbird. (CVE-2009-1571)
Ошибка обнаружена в Thunderbird при создании имен временных файлов при скачивании файлов. Если злоумышленник, действующий локально, знает имя файла, который будет скачен через Thunderbird, то он может заменить содержимое этого файла на произвольное содержимое. (CVE-2009-3274)
Ошибка обнаружена в Thunderbird при отображении некоторых символов при скачивании файла. В таких случаях имя, отображаемое в строке имени, отличается от имени, отображаемого в теле диалога. Злоумышленник может использовать данную уязвимость, чтобы заставить пользователя загрузить файл, который имеет имя или расширение, отличное от того, что ожидает пользователь.(CVE-2009-3376)
Ошибка обнаружена в Thunderbird при обработке ответов SOCKS5 proxy. Сервер SOCKS5 злоумышленника может отправить специально сформированный ответ, который вызовет аварийное завершение работы Thunderbird. (CVE-2009-2470)
Описания в диалогах добавления и удаления модулей PKCS #11 не информативны. Злоумышленник может заставить пользователя установить вредоносный модуль PKCS #11 и использовать данную уязвимость, чтобы установить свой сертификат удостоверяющего центра (Certificate Authority) на компьютере пользователя, что заставит пользователя поверить, что он просматривает доверенный контент или позволит выполнить произвольный код с привилегиями пользователя, запустившего
Thunderbird. (CVE-2009-3076)
Пользователям Thunderbird рекомендуется обновить программное обеспечение, чтобы решить указанную проблему. Необходимо перезапустить все запущенные экземпляры Thunderbird, чтобы изменения вступили в силу.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0153.html
https://rhn.redhat.com/errata/RHSA-2010-0153.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2010-0153.html
CVE (CVE-2009-0689): https://www.redhat.com/security/data/cve/CVE-2009-0689.html
CVE (CVE-2009-1571): https://www.redhat.com/security/data/cve/CVE-2009-1571.html
CVE (CVE-2009-2462): https://www.redhat.com/security/data/cve/CVE-2009-2462.html
CVE (CVE-2009-2463): https://www.redhat.com/security/data/cve/CVE-2009-2463.html
CVE (CVE-2009-2466): https://www.redhat.com/security/data/cve/CVE-2009-2466.html
CVE (CVE-2009-2470): https://www.redhat.com/security/data/cve/CVE-2009-2470.html
CVE (CVE-2009-3072): https://www.redhat.com/security/data/cve/CVE-2009-3072.html
CVE (CVE-2009-3075): https://www.redhat.com/security/data/cve/CVE-2009-3075.html
CVE (CVE-2009-3076): https://www.redhat.com/security/data/cve/CVE-2009-3076.html
CVE (CVE-2009-3077): https://www.redhat.com/security/data/cve/CVE-2009-3077.html
CVE (CVE-2009-3274): https://www.redhat.com/security/data/cve/CVE-2009-3274.html
CVE (CVE-2009-3376): https://www.redhat.com/security/data/cve/CVE-2009-3376.html
CVE (CVE-2009-3380): https://www.redhat.com/security/data/cve/CVE-2009-3380.html
CVE (CVE-2009-3979): https://www.redhat.com/security/data/cve/CVE-2009-3979.html
CVE (CVE-2010-0159): https://www.redhat.com/security/data/cve/CVE-2010-0159.html
CVE (CVE-2010-0163): https://www.redhat.com/security/data/cve/CVE-2010-0163.html
CVE (CVE-2010-0169): https://www.redhat.com/security/data/cve/CVE-2010-0169.html
CVE (CVE-2010-0171): https://www.redhat.com/security/data/cve/CVE-2010-0171.html
BUGZILLA (512128): http://bugzilla.redhat.com/512128
BUGZILLA (512131): http://bugzilla.redhat.com/512131
BUGZILLA (512136): http://bugzilla.redhat.com/512136
BUGZILLA (512145): http://bugzilla.redhat.com/512145
BUGZILLA (521688): http://bugzilla.redhat.com/521688
BUGZILLA (521691): http://bugzilla.redhat.com/521691
BUGZILLA (521692): http://bugzilla.redhat.com/521692
BUGZILLA (521693): http://bugzilla.redhat.com/521693
BUGZILLA (524815): http://bugzilla.redhat.com/524815
BUGZILLA (530162): http://bugzilla.redhat.com/530162
BUGZILLA (530168): http://bugzilla.redhat.com/530168
BUGZILLA (530567): http://bugzilla.redhat.com/530567
BUGZILLA (546694): http://bugzilla.redhat.com/546694
BUGZILLA (566047): http://bugzilla.redhat.com/566047
BUGZILLA (566050): http://bugzilla.redhat.com/566050
Источник: CVE
Наименование: CVE-2009-0689
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0689
Источник: CVE
Наименование: CVE-2009-1571
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1571
Источник: CVE
Наименование: CVE-2009-2462
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2462
Источник: CVE
Наименование: CVE-2009-2463
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2463
Источник: CVE
Наименование: CVE-2009-2466
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2466
Источник: CVE
Наименование: CVE-2009-2470
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2470
Источник: CVE
Наименование: CVE-2009-3072
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3072
Источник: CVE
Наименование: CVE-2009-3075
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3075
Источник: CVE
Наименование: CVE-2009-3076
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3076
Источник: CVE
Наименование: CVE-2009-3077
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3077
Источник: CVE
Наименование: CVE-2009-3274
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3274
Источник: CVE
Наименование: CVE-2009-3376
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3376
Источник: CVE
Наименование: CVE-2009-3380
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3380
Источник: CVE
Наименование: CVE-2009-3979
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3979
Источник: CVE
Наименование: CVE-2010-0159
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0159
Источник: CVE
Наименование: CVE-2010-0163
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0163
Источник: CVE
Наименование: CVE-2010-0169
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0169
Источник: CVE
Наименование: CVE-2010-0171
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0171
CVE (CVE-2009-0689): https://www.redhat.com/security/data/cve/CVE-2009-0689.html
CVE (CVE-2009-1571): https://www.redhat.com/security/data/cve/CVE-2009-1571.html
CVE (CVE-2009-2462): https://www.redhat.com/security/data/cve/CVE-2009-2462.html
CVE (CVE-2009-2463): https://www.redhat.com/security/data/cve/CVE-2009-2463.html
CVE (CVE-2009-2466): https://www.redhat.com/security/data/cve/CVE-2009-2466.html
CVE (CVE-2009-2470): https://www.redhat.com/security/data/cve/CVE-2009-2470.html
CVE (CVE-2009-3072): https://www.redhat.com/security/data/cve/CVE-2009-3072.html
CVE (CVE-2009-3075): https://www.redhat.com/security/data/cve/CVE-2009-3075.html
CVE (CVE-2009-3076): https://www.redhat.com/security/data/cve/CVE-2009-3076.html
CVE (CVE-2009-3077): https://www.redhat.com/security/data/cve/CVE-2009-3077.html
CVE (CVE-2009-3274): https://www.redhat.com/security/data/cve/CVE-2009-3274.html
CVE (CVE-2009-3376): https://www.redhat.com/security/data/cve/CVE-2009-3376.html
CVE (CVE-2009-3380): https://www.redhat.com/security/data/cve/CVE-2009-3380.html
CVE (CVE-2009-3979): https://www.redhat.com/security/data/cve/CVE-2009-3979.html
CVE (CVE-2010-0159): https://www.redhat.com/security/data/cve/CVE-2010-0159.html
CVE (CVE-2010-0163): https://www.redhat.com/security/data/cve/CVE-2010-0163.html
CVE (CVE-2010-0169): https://www.redhat.com/security/data/cve/CVE-2010-0169.html
CVE (CVE-2010-0171): https://www.redhat.com/security/data/cve/CVE-2010-0171.html
BUGZILLA (512128): http://bugzilla.redhat.com/512128
BUGZILLA (512131): http://bugzilla.redhat.com/512131
BUGZILLA (512136): http://bugzilla.redhat.com/512136
BUGZILLA (512145): http://bugzilla.redhat.com/512145
BUGZILLA (521688): http://bugzilla.redhat.com/521688
BUGZILLA (521691): http://bugzilla.redhat.com/521691
BUGZILLA (521692): http://bugzilla.redhat.com/521692
BUGZILLA (521693): http://bugzilla.redhat.com/521693
BUGZILLA (524815): http://bugzilla.redhat.com/524815
BUGZILLA (530162): http://bugzilla.redhat.com/530162
BUGZILLA (530168): http://bugzilla.redhat.com/530168
BUGZILLA (530567): http://bugzilla.redhat.com/530567
BUGZILLA (546694): http://bugzilla.redhat.com/546694
BUGZILLA (566047): http://bugzilla.redhat.com/566047
BUGZILLA (566050): http://bugzilla.redhat.com/566050
Источник: CVE
Наименование: CVE-2009-0689
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0689
Источник: CVE
Наименование: CVE-2009-1571
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1571
Источник: CVE
Наименование: CVE-2009-2462
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2462
Источник: CVE
Наименование: CVE-2009-2463
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2463
Источник: CVE
Наименование: CVE-2009-2466
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2466
Источник: CVE
Наименование: CVE-2009-2470
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2470
Источник: CVE
Наименование: CVE-2009-3072
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3072
Источник: CVE
Наименование: CVE-2009-3075
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3075
Источник: CVE
Наименование: CVE-2009-3076
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3076
Источник: CVE
Наименование: CVE-2009-3077
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3077
Источник: CVE
Наименование: CVE-2009-3274
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3274
Источник: CVE
Наименование: CVE-2009-3376
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3376
Источник: CVE
Наименование: CVE-2009-3380
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3380
Источник: CVE
Наименование: CVE-2009-3979
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3979
Источник: CVE
Наименование: CVE-2010-0159
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0159
Источник: CVE
Наименование: CVE-2010-0163
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0163
Источник: CVE
Наименование: CVE-2010-0169
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0169
Источник: CVE
Наименование: CVE-2010-0171
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0171
