Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
thunderbird
(any)
Описание
Mozilla Thunderbird - автономный клиент для работы с почтой и просмотра групп новостей.
При обработке некорректно сформированного содержимого были обнаружены несколько уязвимостей. Вредоносное содержимое может вызвать аварийное завершение работы или выполнение произвольного кода с привилегиями пользователя, запустившего Thunderbird. (CVE-2013-1701)
Уязвимость существует в Thunderbird и связана с генерацией запросов Certificate Request
Message Format (CRMF) Эксплуатация данной уязвимости позволяет злоумышленнику провести межсайтовое выполнение сценариев или выполнить произвольный код с привилегиями пользователя, запустившего Thunderbird. (CVE-2013-1710)
Уязвимость существует в Thunderbird и связана с некорректным взаимодействием между фреймами и историей браузера. Злоумышленник может использовать данную уязвимость, чтобы заставить Thunderbird принимать вредоносное содержимое за элемент истории браузера, тем самым делая возможным межсайтовое выполнение сценариев. (CVE-2013-1709)
Уязвимость в JavaScript, связанная с некорректной проверкой унифицированного идентификатора ресурса (URI), позволяет совершить обход правил ограничения домена. Эксплуатация данной уязвимости позволяет злоумышленнику реализовать межсайтовое выполнение сценариев или установить вредоносные дополнения со сторонних страниц. (CVE-2013-1713)
Уязвимость в web workers позволяет обойти правила ограничения домена. Эксплуатация данной уязвимости позволяет злоумышленнику реализовать межсайтовое выполнение сценариев. (CVE-2013-1714)
При определенных обстоятельствах Thunderbird некорректно обрабатывает Java-апплеты. Если пользователь запустит недоверенный Java-апплет используя Thunderbird, существующая уязвимость позволит использовать апплет для получения прав доступа на чтение файлов из локальной системы пользователя. -
-
Примечание: Эксплуатация выше указанных уязвимостей не возможна с использованием специально сформированного почтового сообщения HTML, поскольку JavaScript, по умолчанию, отключен для почтовых сообщений.
Злоумышленники могут эксплуатировать уязвимости в Thunderbird другим способом, например, во время просмотра всего содержимого удаленного RSS-канала.
Для устранения уязвимостей пользователям Thunderbird необходимо обновить систему, используя данный пакет с Thunderbird версии 17.0.8 ESR. Чтобы исправления вступили в силу, необходимо перезапустить Thunderbird после установки обновления.
При обработке некорректно сформированного содержимого были обнаружены несколько уязвимостей. Вредоносное содержимое может вызвать аварийное завершение работы или выполнение произвольного кода с привилегиями пользователя, запустившего Thunderbird. (CVE-2013-1701)
Уязвимость существует в Thunderbird и связана с генерацией запросов Certificate Request
Message Format (CRMF) Эксплуатация данной уязвимости позволяет злоумышленнику провести межсайтовое выполнение сценариев или выполнить произвольный код с привилегиями пользователя, запустившего Thunderbird. (CVE-2013-1710)
Уязвимость существует в Thunderbird и связана с некорректным взаимодействием между фреймами и историей браузера. Злоумышленник может использовать данную уязвимость, чтобы заставить Thunderbird принимать вредоносное содержимое за элемент истории браузера, тем самым делая возможным межсайтовое выполнение сценариев. (CVE-2013-1709)
Уязвимость в JavaScript, связанная с некорректной проверкой унифицированного идентификатора ресурса (URI), позволяет совершить обход правил ограничения домена. Эксплуатация данной уязвимости позволяет злоумышленнику реализовать межсайтовое выполнение сценариев или установить вредоносные дополнения со сторонних страниц. (CVE-2013-1713)
Уязвимость в web workers позволяет обойти правила ограничения домена. Эксплуатация данной уязвимости позволяет злоумышленнику реализовать межсайтовое выполнение сценариев. (CVE-2013-1714)
При определенных обстоятельствах Thunderbird некорректно обрабатывает Java-апплеты. Если пользователь запустит недоверенный Java-апплет используя Thunderbird, существующая уязвимость позволит использовать апплет для получения прав доступа на чтение файлов из локальной системы пользователя. -
-
Примечание: Эксплуатация выше указанных уязвимостей не возможна с использованием специально сформированного почтового сообщения HTML, поскольку JavaScript, по умолчанию, отключен для почтовых сообщений.
Злоумышленники могут эксплуатировать уязвимости в Thunderbird другим способом, например, во время просмотра всего содержимого удаленного RSS-канала.
Для устранения уязвимостей пользователям Thunderbird необходимо обновить систему, используя данный пакет с Thunderbird версии 17.0.8 ESR. Чтобы исправления вступили в силу, необходимо перезапустить Thunderbird после установки обновления.
Как исправить
Используйте рекомендации производителя, доступные по ссылке https://access.redhat.com/knowledge/articles/11258
Ссылки
https://rhn.redhat.com/errata/RHSA-2013-1142.html
Источник: CVE
Наименование: CVE-2013-
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-
Источник: CVE
Наименование: CVE-2013-
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-