Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

KLA10889
Více zranitelností v Mozilla Thunderbird
Aktualizováno: 10/24/2016
Detekováno
?
10/20/2016
Míra zranitelnosti
?
Kritická
Popis

V Mozille Thunderbird bylo nalezeno několik závažných chyb. Škodlivé uživatele mohou tyto chyby zabezpečení zneužít, aby způsobily odmítnutí služby, spouštěním libovolného kódu, obejitím bezpečnostních omezení nebo získáním citlivých informací.

Níže je uveden úplný seznam chyb zabezpečení

  1. Přetečení vyrovnávací paměti může být vzdáleně využíváno prostřednictvím speciálně vytvořeného obsahu, který způsobí odmítnutí služby nebo případně další nesprávnou chybu.
  2. Špatná cast může být vzdáleně využívána prostřednictvím speciálně vytvořeného obsahu pro spuštění libovolného kódu;
  3. Hromadné použití po volném čase lze vzdáleně využívat prostřednictvím speciálně vytvořeného obsahu k provedení libovolného kódu;
  4. Chyby zabezpečení po selhání lze vzdáleně využívat pomocí manipulací s webovými animacemi, které způsobují odmítnutí služby nebo spouštění libovolného kódu;
  5. Přetečení vyrovnávací paměti může být vzdáleně využíváno prostřednictvím speciálně vytvořeného obrazu pro spuštění libovolného kódu;
  6. Chyby zabezpečení po selhání lze vzdáleně využívat prostřednictvím speciálně vytvořeného obsahu pro spuštění libovolného kódu;
  7. Nesprávná aktualizace aktualizovaného veřejného klíče může být zneužita prostřednictvím manipulace s certifikáty, aby se vyhnuli bezpečnostním omezením;
  8. Nedostatek omezení časového omezení API lze vzdáleně využívat prostřednictvím speciálně vytvořeného obsahu pro získání citlivých informací;
  9. Mnohé neznámé chyby zabezpečení lze vzdáleně využívat k odmítnutí služby nebo k případnému spuštění libovolného kódu.

Technické údaje

Chyba zabezpečení (1) týkající se nsCaseTransformTextRunFactory :: TransformString a může být spuštěna pomocí speciálně navržených znaků unicode.

Chyba zabezpečení (2) související s nsImageGeometryMixin, která selže při správném zacházení s prvky INPUT.

Chyba zabezpečení (3) související s mozilla :: a11y :: DocAccessible :: ProcessInvalidationList a může být spuštěna pomocí atributu aria- owns .

Chyba zabezpečení (4) související s programem nsFrameManager :: CaptureFrameState, který lze využít tím, že využívá nesprávné interakce mezi restylingem a implementací modelu Web Animations. Tato chyba také souvisí s nsRefreshDriver :: Tick, který lze využít tím, že využívá nesprávnou interakci mezi destrukcí časové osy a implementací modelu Web Animations.

Chyba zabezpečení (5) související s nsBMPEncoder :: AddImageFrame a může být spuštěna během kódování rámečku obrazu na obrázek.

Chyba zabezpečení (6) související s mozilla :: nsTextNodeDirectionalityMap :: RemoveElementFromMap, kterou lze využít obousměrným textem. Tato chyba také souvisí s DOMSVGLength, kterou lze využít tím, že využívá nesprávné interakce mezi kódem JavaScript a dokumentem SVG.

Chyba zabezpečení (7) lze využít využíváním certifikátu serveru X.509 pro server addons.mozilla.org, který je podepsán libovolnou vestavěnou certifikační autoritou. Uživatelé, kteří nenainstalovali žádné doplňky, nejsou ovlivněny.

Chyba zabezpečení (8) lze využít k získání informací o dříve navštívených stránkách.

Zasažené produkty

Mozilla Thunderbird verze dříve než 45.4

Řešení

Aktualizace na nejnovější verzi
Mozilla Thunderbird stáhnout stránku

Oficiální doporučení

Mozilla Foundation Security Advisory

Dopad
?
ACE 
[?]

OSI 
[?]

SB 
[?]

DoS 
[?]
Související produkty
Mozilla Thunderbird
CVE-IDS
?

CVE-2016-5257
CVE-2016-5270
CVE-2016-5272
CVE-2016-5274
CVE-2016-5276
CVE-2016-5277
CVE-2016-5278
CVE-2016-5280
CVE-2016-5281
CVE-2016-5284
CVE-2016-5250


Odkaz na originál