ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO. Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Soluções para:
Produtos domésticos
Pequenas empresas
Empresas médias
Grandes empresas
Vulnerabilidades Ameaças
Início Vulnerabilidades

Múltiplas vulnerabilidades no Mozilla Thunderbird

Kaspersky ID:
KLA11007
Data de detecção:
04/30/2017
Atualizado:
07/05/2018

Descrição

Múltiplas vulnerabilidades sérias foram encontradas no Mozilla Thunderbird. Usuários mal-intencionados podem explorar essas vulnerabilidades para causar negação de serviço, obter privilégios, executar código arbitrário, ler e gravar arquivos locais.

Abaixo está uma lista completa de vulnerabilidades:

  1. Uma vulnerabilidade de uso depois de livre no SMIL pode ser explorada remotamente para causar uma negação de serviço;
  2. Uma vulnerabilidade de uso após livre durante o processamento de transações no editor pode ser explorada remotamente para causar uma negação de serviço;
  3. Uma vulnerabilidade de gravação fora do limite na biblioteca do Graphite 2 pode ser explorada remotamente para causar uma negação de serviço;
  4. Uma vulnerabilidade de gravação fora do limite na decodificação Base64 na biblioteca do Network Security Services (NSS) pode ser explorada remotamente para causar uma negação de serviço;
  5. Uma vulnerabilidade de estouro de buffer no WebGL pode ser explorada remotamente para causar uma negação de serviço;
  6. Vulnerabilidade de confusão de origem relacionada ao recarregamento de dados isolados: o URL de texto / html pode ser explorado remotamente para executar um ataque de cross-site scripting (XSS);
  7. Uma vulnerabilidade de uso depois de livre durante a manipulação de foco pode ser explorada remotamente para causar uma negação de serviço;
  8. Uma vulnerabilidade de uso depois de livre na seleção de entrada de texto pode ser explorada remotamente para causar uma negação de serviço;
  9. Uma vulnerabilidade de uso após a liberação na seleção de quadros pode ser explorada remotamente para causar uma negação de serviço;
  10. Uma vulnerabilidade de uso depois de livre em nsAutoPtr durante o processamento de XSLT pode ser explorada remotamente para causar uma negação de serviço;
  11. Uma vulnerabilidade de uso depois de livre no destruidor txExecutionState relacionado ao processamento de XSLT pode ser explorada remotamente para causar uma negação de serviço;
  12. A vulnerabilidade use-after-free no nsTArray Length () durante o processamento de XSLT pode ser explorada remotamente para causar uma negação de serviço;
  13. A vulnerabilidade "usar-depois-livre" com seleção durante eventos de rolagem pode ser explorada remotamente para causar uma negação de serviço;
  14. A vulnerabilidade use-after-free durante mudanças de estilo ao manipular elementos DOM pode ser explorada remotamente para causar uma negação de serviço;
  15. A vulnerabilidade de corrupção de memória com acessibilidade e manipulação de DOM pode ser explorada remotamente para causar uma negação de serviço;
  16. Uma vulnerabilidade de gravação fora do limite durante a decodificação do BinHex pode ser explorada remotamente para causar uma negação de serviço;
  17. Uma vulnerabilidade de estouro de buffer durante a análise do conteúdo do aplicativo / formato de índice http pode ser explorada remotamente para causar uma negação de serviço ou obter uma informação confidencial;
  18. Uma vulnerabilidade de leitura fora dos limites quando os quadros HTTP / 2 DATA são enviados com dados incorretos pode ser explorada remotamente para causar uma negação de serviço;
  19. Uma vulnerabilidade de leitura fora dos limites durante o processamento de glifos pode ser explorada remotamente para causar negação de serviço ou obter informações confidenciais;
  20. Uma vulnerabilidade de leitura fora dos limites durante o processamento de conteúdo SVG no ConvolvePixel e durante o processamento de glifos pode ser explorada remotamente para causar uma negação de serviço ou obter uma informação confidencial;
  21. Diversas vulnerabilidades de leitura fora dos limites na biblioteca Libevent podem ser exploradas remotamente para causar uma negação de serviço;
  22. Vários overflows de buffer em potencial em código gerado flex podem ser explorados remotamente possivelmente para causar uma negação de serviço;
  23. Múltiplas vulnerabilidades de corrupção de memória, que ocorrem devido a bugs de segurança de memória, podem ser exploradas remotamente para executar código arbitrário;
  24. Uma possível corrupção de memória que ocorre ao desenhar o conteúdo do Skia fora dos limites de uma região de recorte pode ser explorada remotamente possivelmente para causar uma negação de serviço;
  25. Um manuseio de escape de caixa de areia inadequado pode ser explorado remotamente através do selecionador de arquivos por meio de caminhos relativos para contornar as restrições de segurança e obter privilégios (obter acesso somente leitura ao sistema de arquivos local);
  26. Uma vulnerabilidade desconhecida pode ser explorada remotamente através da interação do usuário na barra de endereços e o evento onblur para falsificar a barra de endereços;
  27. Um manuseio inadequado de layouts e manipulações de texto unicode bidirecional combinado com animações CSS pode ser explorado remotamente para causar uma negação de serviço;
  28. Uma vulnerabilidade relacionada ao conteúdo do aplicativo de análise / formato de índice http pode ser explorada remotamente possivelmente para causar uma negação de serviço ou executar um código arbitrário;
  29. Uma geração imprópria de números DRBG na biblioteca NSS (Network Security Services) pode ser explorada remotamente possivelmente para causar uma negação de serviço ou executar um código arbitrário.

NB: Esta vulnerabilidade não tem classificação CVSS pública, portanto, a classificação pode ser alterada no momento.

NB: Neste momento, a Mozilla apenas reservou números CVE para essas vulnerabilidades. As informações podem ser alteradas em breve.

Comunicados originais

Lista de CVE

Saiba mais

Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com

Encontrou uma imprecisão na descrição desta vulnerabilidade? Avise-nos!
Novo Kaspersky!
Sua vida dgital merece proteção completa!
Saber mais
Kaspersky Next:
cibersegurança redefinida
Saber mais
Related articles
24 April 2024
Securelist
Assessing the Y, and How, of the XZ Utils incident
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
Encontrou uma imprecisão na descrição desta vulnerabilidade?
Se você encontrou uma nova Ameaça ou Vulnerabilidade, por favor, nos avise por e-mail:
newvirus@kaspersky.com
Encontrou uma nova Ameaça ou Vulnerabilidade?
Se você encontrou uma nova Ameaça ou Vulnerabilidade, por favor, nos avise por e-mail:
newvirus@kaspersky.com
Soluções para
Produtos domésticos
Pequenas empresas
Empresas médias
Grandes empresas
Select language
Sorting
Kaspersky ID
Vulnerabilidade
Detect date
Nível de gravidade
Confirm changes?
Your message has been sent successfully.