Více zranitelností v Mozilla Thunderbird

Popis

V Mozille Thunderbird bylo nalezeno několik závažných chyb. Škodlivé uživatele mohou tyto chyby zabezpečení zneužít, aby způsobily odmítnutí služby, spouštěním libovolného kódu, obejitím bezpečnostních omezení nebo získáním citlivých informací.

Níže je uveden úplný seznam chyb zabezpečení

1. Přetečení vyrovnávací paměti může být vzdáleně využíváno prostřednictvím speciálně vytvořeného obsahu, který způsobí odmítnutí služby nebo případně další nesprávnou chybu.
2. Špatná cast může být vzdáleně využívána prostřednictvím speciálně vytvořeného obsahu pro spuštění libovolného kódu;
3. Hromadné použití po volném čase lze vzdáleně využívat prostřednictvím speciálně vytvořeného obsahu k provedení libovolného kódu;
4. Chyby zabezpečení po selhání lze vzdáleně využívat pomocí manipulací s webovými animacemi, které způsobují odmítnutí služby nebo spouštění libovolného kódu;
5. Přetečení vyrovnávací paměti může být vzdáleně využíváno prostřednictvím speciálně vytvořeného obrazu pro spuštění libovolného kódu;
6. Chyby zabezpečení po selhání lze vzdáleně využívat prostřednictvím speciálně vytvořeného obsahu pro spuštění libovolného kódu;
7. Nesprávná aktualizace aktualizovaného veřejného klíče může být zneužita prostřednictvím manipulace s certifikáty, aby se vyhnuli bezpečnostním omezením;
8. Nedostatek omezení časového omezení API lze vzdáleně využívat prostřednictvím speciálně vytvořeného obsahu pro získání citlivých informací;
9. Mnohé neznámé chyby zabezpečení lze vzdáleně využívat k odmítnutí služby nebo k případnému spuštění libovolného kódu.

---

Technické údaje

Chyba zabezpečení (1) týkající se nsCaseTransformTextRunFactory :: TransformString a může být spuštěna pomocí speciálně navržených znaků unicode.

Chyba zabezpečení (2) související s nsImageGeometryMixin, která selže při správném zacházení s prvky INPUT.

Chyba zabezpečení (3) související s mozilla :: a11y :: DocAccessible :: ProcessInvalidationList a může být spuštěna pomocí atributu aria- owns .

Chyba zabezpečení (4) související s programem nsFrameManager :: CaptureFrameState, který lze využít tím, že využívá nesprávné interakce mezi restylingem a implementací modelu Web Animations. Tato chyba také souvisí s nsRefreshDriver :: Tick, který lze využít tím, že využívá nesprávnou interakci mezi destrukcí časové osy a implementací modelu Web Animations.

Chyba zabezpečení (5) související s nsBMPEncoder :: AddImageFrame a může být spuštěna během kódování rámečku obrazu na obrázek.

Chyba zabezpečení (6) související s mozilla :: nsTextNodeDirectionalityMap :: RemoveElementFromMap, kterou lze využít obousměrným textem. Tato chyba také souvisí s DOMSVGLength, kterou lze využít tím, že využívá nesprávné interakce mezi kódem JavaScript a dokumentem SVG.

Chyba zabezpečení (7) lze využít využíváním certifikátu serveru X.509 pro server addons.mozilla.org, který je podepsán libovolnou vestavěnou certifikační autoritou. Uživatelé, kteří nenainstalovali žádné doplňky, nejsou ovlivněny.

Chyba zabezpečení (8) lze využít k získání informací o dříve navštívených stránkách.

Oficiální doporučení

• Mozilla Foundation Security Advisory

Související produkty

• Mozilla-Thunderbird

seznam CVE

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com