Mozilla Thunderbirdの複数の脆弱性

説明

Mozilla Thunderbirdには複数の深刻な脆弱性が存在します。悪意のあるユーザーは、これらの脆弱性を悪用して機密情報を取得したり、任意のコードを実行したり、サービス拒否を引き起こしたり、ユーザーインターフェイスを偽装したり、特権の昇格を得ることができます。

以下は、脆弱性の完全なリストです

1. JITコード割り当てのメモリ破損の脆弱性は、ASLRとDEPの保護をバイパスし、結果としてサービス拒否を引き起こすためにリモートから悪用される可能性があります。
2. XSLTドキュメントのXSLを操作しているときに、フリー・アフター・フリーの脆弱性がリモートから利用される可能性があります。
3. Javaスクリプトの脆弱性でページ間でハッシュコードを共有する処理が正しくないと、サービス拒否が発生する可能性があります。
4. SVGコンテンツのDOM操作時には、フリー・アフター・フリーの脆弱性がリモートからファジングによって悪用される可能性があります。
5. 開発者ツールのJsonビューアで安全でないメソッドをリモートから悪用して、潜在的な権限の昇格を許可することができます。
6. Media Decoderの使用後の脆弱性は、機密情報を取得するためにリモートから悪用される可能性があります。
7. URLの一部のUnicode文字の不適切な処理は、ロケーションバーのドメイン名のなりすましを許可するためにリモートから悪用される可能性があります。
8. メモリ破損の脆弱性がリモートから悪用され、任意のコードを実行する可能性があります。

---

技術的な詳細

脆弱性（5）は、JSONまたはHTTPヘッダーデータをコピーして表示するための通信チャネルを作成する、安全でない方法を使用することによって発生します。

注：この脆弱性には公開CVSSレーティングがないため、レーティングは時間によって変更できます。

注意：この瞬間、Mozillaはこの脆弱性のためにCVE番号を予約しました。情報はすぐに変更することができます。

オリジナルアドバイザリー

• MFSA

CVEリスト

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com