ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

KLA11007
Múltiplas vulnerabilidades no Mozilla Thunderbird
Atualizado: 07/05/2018
Data de detecção
?
04/30/2017
Nível de gravidade
?
Crítico
Descrição

Múltiplas vulnerabilidades sérias foram encontradas no Mozilla Thunderbird. Usuários mal-intencionados podem explorar essas vulnerabilidades para causar negação de serviço, obter privilégios, executar código arbitrário, ler e gravar arquivos locais.

Abaixo está uma lista completa de vulnerabilidades:

  1. Uma vulnerabilidade de uso depois de livre no SMIL pode ser explorada remotamente para causar uma negação de serviço;
  2. Uma vulnerabilidade de uso após livre durante o processamento de transações no editor pode ser explorada remotamente para causar uma negação de serviço;
  3. Uma vulnerabilidade de gravação fora do limite na biblioteca do Graphite 2 pode ser explorada remotamente para causar uma negação de serviço;
  4. Uma vulnerabilidade de gravação fora do limite na decodificação Base64 na biblioteca do Network Security Services (NSS) pode ser explorada remotamente para causar uma negação de serviço;
  5. Uma vulnerabilidade de estouro de buffer no WebGL pode ser explorada remotamente para causar uma negação de serviço;
  6. Vulnerabilidade de confusão de origem relacionada ao recarregamento de dados isolados: o URL de texto / html pode ser explorado remotamente para executar um ataque de cross-site scripting (XSS);
  7. Uma vulnerabilidade de uso depois de livre durante a manipulação de foco pode ser explorada remotamente para causar uma negação de serviço;
  8. Uma vulnerabilidade de uso depois de livre na seleção de entrada de texto pode ser explorada remotamente para causar uma negação de serviço;
  9. Uma vulnerabilidade de uso após a liberação na seleção de quadros pode ser explorada remotamente para causar uma negação de serviço;
  10. Uma vulnerabilidade de uso depois de livre em nsAutoPtr durante o processamento de XSLT pode ser explorada remotamente para causar uma negação de serviço;
  11. Uma vulnerabilidade de uso depois de livre no destruidor txExecutionState relacionado ao processamento de XSLT pode ser explorada remotamente para causar uma negação de serviço;
  12. A vulnerabilidade use-after-free no nsTArray Length () durante o processamento de XSLT pode ser explorada remotamente para causar uma negação de serviço;
  13. A vulnerabilidade "usar-depois-livre" com seleção durante eventos de rolagem pode ser explorada remotamente para causar uma negação de serviço;
  14. A vulnerabilidade use-after-free durante mudanças de estilo ao manipular elementos DOM pode ser explorada remotamente para causar uma negação de serviço;
  15. A vulnerabilidade de corrupção de memória com acessibilidade e manipulação de DOM pode ser explorada remotamente para causar uma negação de serviço;
  16. Uma vulnerabilidade de gravação fora do limite durante a decodificação do BinHex pode ser explorada remotamente para causar uma negação de serviço;
  17. Uma vulnerabilidade de estouro de buffer durante a análise do conteúdo do aplicativo / formato de índice http pode ser explorada remotamente para causar uma negação de serviço ou obter uma informação confidencial;
  18. Uma vulnerabilidade de leitura fora dos limites quando os quadros HTTP / 2 DATA são enviados com dados incorretos pode ser explorada remotamente para causar uma negação de serviço;
  19. Uma vulnerabilidade de leitura fora dos limites durante o processamento de glifos pode ser explorada remotamente para causar negação de serviço ou obter informações confidenciais;
  20. Uma vulnerabilidade de leitura fora dos limites durante o processamento de conteúdo SVG no ConvolvePixel e durante o processamento de glifos pode ser explorada remotamente para causar uma negação de serviço ou obter uma informação confidencial;
  21. Diversas vulnerabilidades de leitura fora dos limites na biblioteca Libevent podem ser exploradas remotamente para causar uma negação de serviço;
  22. Vários overflows de buffer em potencial em código gerado flex podem ser explorados remotamente possivelmente para causar uma negação de serviço;
  23. Múltiplas vulnerabilidades de corrupção de memória, que ocorrem devido a bugs de segurança de memória, podem ser exploradas remotamente para executar código arbitrário;
  24. Uma possível corrupção de memória que ocorre ao desenhar o conteúdo do Skia fora dos limites de uma região de recorte pode ser explorada remotamente possivelmente para causar uma negação de serviço;
  25. Um manuseio de escape de caixa de areia inadequado pode ser explorado remotamente através do selecionador de arquivos por meio de caminhos relativos para contornar as restrições de segurança e obter privilégios (obter acesso somente leitura ao sistema de arquivos local);
  26. Uma vulnerabilidade desconhecida pode ser explorada remotamente através da interação do usuário na barra de endereços e o evento onblur para falsificar a barra de endereços;
  27. Um manuseio inadequado de layouts e manipulações de texto unicode bidirecional combinado com animações CSS pode ser explorado remotamente para causar uma negação de serviço;
  28. Uma vulnerabilidade relacionada ao conteúdo do aplicativo de análise / formato de índice http pode ser explorada remotamente possivelmente para causar uma negação de serviço ou executar um código arbitrário;
  29. Uma geração imprópria de números DRBG na biblioteca NSS (Network Security Services) pode ser explorada remotamente possivelmente para causar uma negação de serviço ou executar um código arbitrário.

NB: Esta vulnerabilidade não tem classificação CVSS pública, portanto, a classificação pode ser alterada no momento.

NB: Neste momento, a Mozilla apenas reservou números CVE para essas vulnerabilidades. As informações podem ser alteradas em breve.

Produtos afetados

Mozilla Thunderbird antes de 52.1

Solução

Atualize para a versão mais recente
Baixar Mozilla Thunderbird

Comunicados originais

MFSA 2017-13

Impactos
?
WLF 
[?]

RLF 
[?]

ACE 
[?]

OSI 
[?]

XSSCSS 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Produtos relacionados
Mozilla Thunderbird
CVE-IDS
?

CVE-2017-5429
CVE-2017-5430
CVE-2017-5467
CVE-2017-5462
CVE-2017-5451
CVE-2017-5449
CVE-2017-5445
CVE-2017-5469
CVE-2017-5454
CVE-2017-5465
CVE-2017-5447
CVE-2017-5446
CVE-2017-5444
CVE-2017-5443
CVE-2017-5464
CVE-2017-5442
CVE-2017-5441
CVE-2017-5440
CVE-2017-5439
CVE-2017-5438
CVE-2017-5460
CVE-2017-5432
CVE-2017-5434
CVE-2017-5466
CVE-2017-5459
CVE-2017-5436
CVE-2017-5435
CVE-2017-5433
CVE-2017-5461
CVE-2016-10197
CVE-2016-10196
CVE-2016-10195
CVE-2016-6354


Link para o original