• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2013:1142-02

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2013:1142-02

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
thunderbird (any)
Описание
Mozilla Thunderbird - автономный клиент для работы с почтой и просмотра групп новостей.

При обработке некорректно сформированного содержимого были обнаружены несколько уязвимостей. Вредоносное содержимое может вызвать аварийное завершение работы или выполнение произвольного кода с привилегиями пользователя, запустившего Thunderbird. (CVE-2013-1701)

Уязвимость существует в Thunderbird и связана с генерацией запросов Certificate Request
Message Format (CRMF) Эксплуатация данной уязвимости позволяет злоумышленнику провести межсайтовое выполнение сценариев или выполнить произвольный код с привилегиями пользователя, запустившего Thunderbird. (CVE-2013-1710)

Уязвимость существует в Thunderbird и связана с некорректным взаимодействием между фреймами и историей браузера. Злоумышленник может использовать данную уязвимость, чтобы заставить Thunderbird принимать вредоносное содержимое за элемент истории браузера, тем самым делая возможным межсайтовое выполнение сценариев. (CVE-2013-1709)

Уязвимость в JavaScript, связанная с некорректной проверкой унифицированного идентификатора ресурса (URI), позволяет совершить обход правил ограничения домена. Эксплуатация данной уязвимости позволяет злоумышленнику реализовать межсайтовое выполнение сценариев или установить вредоносные дополнения со сторонних страниц. (CVE-2013-1713)

Уязвимость в web workers позволяет обойти правила ограничения домена. Эксплуатация данной уязвимости позволяет злоумышленнику реализовать межсайтовое выполнение сценариев. (CVE-2013-1714)

При определенных обстоятельствах Thunderbird некорректно обрабатывает Java-апплеты. Если пользователь запустит недоверенный Java-апплет используя Thunderbird, существующая уязвимость позволит использовать апплет для получения прав доступа на чтение файлов из локальной системы пользователя. -
-

Примечание: Эксплуатация выше указанных уязвимостей не возможна с использованием специально сформированного почтового сообщения HTML, поскольку JavaScript, по умолчанию, отключен для почтовых сообщений.
Злоумышленники могут эксплуатировать уязвимости в Thunderbird другим способом, например, во время просмотра всего содержимого удаленного RSS-канала.

Для устранения уязвимостей пользователям Thunderbird необходимо обновить систему, используя данный пакет с Thunderbird версии 17.0.8 ESR. Чтобы исправления вступили в силу, необходимо перезапустить Thunderbird после установки обновления.
Как исправить
Используйте рекомендации производителя, доступные по ссылке https://access.redhat.com/knowledge/articles/11258
Ссылки