本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

KLA11007
Mozilla Thunderbirdの複数の脆弱性
更新日: 07/05/2018
検出日
?
04/30/2017
危険度
?
緊急
説明

Mozilla Thunderbirdには複数の深刻な脆弱性が存在します。悪意のあるユーザーは、これらの脆弱性を利用してサービス拒否、特権の取得、任意のコードの実行、ローカルファイルの読み書きを行うことができます。

以下に、脆弱性の完全な一覧を示します。

  1. SMILの使用後の脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
  2. エディタでのトランザクション処理中に使用後の脆弱性がリモートで悪用され、サービス拒否が発生する可能性があります。
  3. Graphite 2ライブラリの範囲外書き込み脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
  4. Network Security Services(NSS)ライブラリのBase64デコードにおける境界外書き込み脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
  5. WebGLのバッファオーバーフローの脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
  6. 孤立したデータの再読み込みに関連する起源の混乱の脆弱性:text / html URLをリモートから悪用してクロスサイトスクリプティング(XSS)攻撃を実行することができます。
  7. フォーカス処理中のuse-after-free脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
  8. テキスト入力の選択における使用後の脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
  9. フレーム選択における使用後の脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
  10. XSLT処理中のnsAutoPtrにおける使用後の脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
  11. XSLT処理に関連するtxExecutionStateデストラクタのuse-after-free脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
  12. XSLT処理中のnsTArray Length()の使用後の脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
  13. スクロールイベント中の選択に使用後の脆弱性をリモートから悪用してサービス拒否を引き起こす可能性があります。
  14. DOM要素の操作時にスタイルの変更中に使用後の脆弱性がリモートで悪用され、サービス拒否が引き起こされる可能性があります。
  15. アクセシビリティとDOM操作によるメモリ破損の脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
  16. BinHexのデコード中にアウトオブバウンドの書き込み脆弱性がリモートから悪用され、サービス拒否が発生する可能性があります。
  17. アプリケーション/ http-index-formatコンテンツの解析時にバッファオーバーフローの脆弱性が発生し、サービス拒否や機密情報を取得する可能性があります。
  18. 不正なデータでHTTP / 2 DATAフレームが送信された場合、境界外の読み取り脆弱性が発生し、サービス拒否が発生する可能性があります。
  19. グリフ処理中の範囲外の読み取り脆弱性は、サービス拒否を引き起こしたり機密情報を取得するためにリモートから悪用される可能性があります。
  20. ConvolvePixelおよびグリフ処理中のSVGコンテンツを処理する際の範囲外の読み取り脆弱性は、サービス拒否または機密情報を取得するためにリモートから悪用される可能性があります。
  21. Libeventライブラリの複数の範囲外の読み取りの脆弱性は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
  22. フレックス生成コードの複数の潜在的なバッファオーバーフローは、おそらくサービス拒否を引き起こすためにリモートから悪用される可能性があります。
  23. メモリの安全性のバグのために発生する複数のメモリ破損の脆弱性は、リモートから任意のコードを実行するために悪用される可能性があります。
  24. クリッピング領域の境界外にSkiaコンテンツを描画する際に起こりうる潜在的なメモリ破損は、おそらくサービス拒否を引き起こすためにリモートから悪用される可能性があります。
  25. 不適切なサンドボックスエスケープ処理は、相対パスを介してファイルピッカーを介してリモートから悪用され、セキュリティ制限を回避し、特権を得ることができます(ローカルファイルシステムへの読み取り専用アクセスを得る)。
  26. 未知の脆弱性は、アドレスバー上のユーザインタラクションとアドレスバーを偽るためのonblurイベントとを介して遠隔で利用することができる。
  27. CSSアニメーションと組み合わせた双方向ユニコードテキストのレイアウトや操作の不適切な処理は、サービス拒否を引き起こすためにリモートから悪用される可能性があります。
  28. アプリケーション/ http-index-formatコンテンツの解析に関連する脆弱性は、サービス拒否を引き起こす可能性があり、任意のコードを実行する可能性があります。
  29. NSS(Network Security Services)ライブラリでの不適切なDRBG番号の生成は、サービス拒否や任意のコードの実行をリモートで行う可能性があります。

注:この脆弱性には公開CVSS評価がないため、評価は時間によって変更できます。

注意:この瞬間、Mozillaはこの脆弱性のためにCVE番号を予約しました。情報はすぐに変更することができます。

影響を受ける製品

Mozilla Thunderbird 52.1より前

解決法

最新バージョンへのアップデート
Mozilla Thunderbirdをダウンロード

オリジナル勧告

MFSA 2017-13

影響
?
WLF 
[?]

RLF 
[?]

ACE 
[?]

OSI 
[?]

XSSCSS 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
関連製品
Mozilla Thunderbird
CVE-IDS
?

CVE-2017-5429
CVE-2017-5430
CVE-2017-5467
CVE-2017-5462
CVE-2017-5451
CVE-2017-5449
CVE-2017-5445
CVE-2017-5469
CVE-2017-5454
CVE-2017-5465
CVE-2017-5447
CVE-2017-5446
CVE-2017-5444
CVE-2017-5443
CVE-2017-5464
CVE-2017-5442
CVE-2017-5441
CVE-2017-5440
CVE-2017-5439
CVE-2017-5438
CVE-2017-5460
CVE-2017-5432
CVE-2017-5434
CVE-2017-5466
CVE-2017-5459
CVE-2017-5436
CVE-2017-5435
CVE-2017-5433
CVE-2017-5461
CVE-2016-10197
CVE-2016-10196
CVE-2016-10195
CVE-2016-6354


オリジナルへのリンク