BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER. Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Şunlar için çözümler:
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Zayıf noktalar Tehditler
Ana sayfa Zayıf noktalar

Mozilla Thunderbird'deki çoklu güvenlik açıkları

Kaspersky ID:
KLA10889
Bulunma tarihi:
10/20/2016
Yüklendi:
07/05/2018

Açıklama

Mozilla Thunderbird'de birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar bu güvenlik açıklarından yararlanabilir ve hizmet reddine, isteğe bağlı kod çalıştırmaya, güvenlik sınırlamalarını atlatmaya veya hassas bilgiler edinmeye neden olabilir.

Aşağıda güvenlik açıklarının tam listesi

  1. Yığın arabellek taşması, hizmet reddine neden olması veya başka bir bilinmeyen hata iletmesi için özel olarak tasarlanmış bir içerik aracılığıyla uzaktan kullanılabilir.
  2. Kötü cast, isteğe bağlı kod yürütmek için özel olarak tasarlanmış bir içerik üzerinden uzaktan kullanılabilir;
  3. Öbek kullanımı-ard arda, isteğe bağlı kodu yürütmek için özel olarak tasarlanmış bir içerik aracılığıyla uzaktan kullanılabilir;
  4. Kullanım serbest bırakma güvenlik açıkları, hizmet reddine veya rasgele kod yürütmeye neden olmak için Web Animations manipülasyonları aracılığıyla uzaktan kullanılabilir;
  5. Yığın arabellek taşması, isteğe bağlı kod yürütmek için özel olarak tasarlanmış bir görüntü aracılığıyla uzaktan kullanılabilir;
  6. Keyif kodunun yürütülmesi için özel olarak tasarlanmış bir içerik aracılığıyla ücretsiz olarak kullanılabilecek güvenlik açıkları kullanılabilir.
  7. Uygun olmayan önceden yüklenmiş bir Genel Anahtar Sabitleme güncelleştirmesi, güvenlik kısıtlamalarını atlamak için sertifika manipulasyonları aracılığıyla kullanılabilir;
  8. Kaynak Zamanlaması Eksikliği API kısıtlamaları, hassas bilgiler elde etmek için özel olarak tasarlanmış bir içerik aracılığıyla uzaktan kullanılabilir.
  9. Birden çok bilinmeyen güvenlik açığı hizmet reddine neden olmak veya olasılıkla isteğe bağlı kod çalıştırmak için uzaktan kullanılabilir.

Teknik detaylar

NsCaseTransformTextRunFactory :: TransformString ile ilgili güvenlik açığı (1) ve özel olarak tasarlanmış bir unicode karakterleri ile tetiklenebilir.

INPUT öğelerini doğru şekilde işleyemeyen nsImageGeometryMixin ile ilgili Güvenlik Açığı (2) .

Güvenlik açığı (3) , mozilla :: a11y :: DocAccessible :: ProcessInvalidationList ile ilişkilidir ve aria-owns özniteliği aracılığıyla tetiklenebilir.

NsFrameManager :: CaptureFrameState ile ilgili olarak, restyling ve Web Animations model uygulaması arasında uygunsuz etkileşimden yararlanılarak yararlanılabilecek güvenlik açığı (4) . Bu güvenlik açığı, zaman çizelgesi imhası ile Web Animasyonları modeli uygulaması arasında uygunsuz etkileşimden yararlanılarak yararlanılabilen nsRefreshDriver :: Tick ile de ilgilidir.

Güvenlik açığı (5) nsBMPEncoder :: AddImageFrame ile ilişkilidir ve bir görüntü çerçevesinin bir görüntüye kodlanması sırasında tetiklenebilir.

İki yönlü metinle yararlanılabilen mozilla :: nsTextNodeDirectionalityMap :: RemoveElementFromMap ile ilgili Güvenlik Açığı (6) . Bu güvenlik açığı, JavaScript kodu ve bir SVG belgesi arasında uygunsuz etkileşimden yararlanılarak yararlanılabilen DOMSVGLength ile de ilgilidir.

Güvenlik açığı (7) , isteğe bağlı yerleşik Sertifika Yetkilisi tarafından imzalanan addons.mozilla.org için bir X.509 sunucu sertifikası bulundurmaktan yararlanılarak kullanılabilir. Eklenti yüklememiş olan kullanıcılar etkilenmez.

Güvenlik açığı (8) , daha önce ziyaret edilen sayfalar hakkında bilgi edinmek için kullanılabilir.

Orijinal öneriler

CVE Listesi

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com

Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz? Bize bildirin!
Yeni Kaspersky!
Dijital hayatınız güçlü korumayı hak ediyor!
Daha fazla bilgi edin
Kaspersky IT Security Calculator
Daha fazla bilgi edin
Related articles
11 July 2024
Securelist
When spear phishing met mass phishing
09 July 2024
Securelist
Developing and prioritizing a detection engineering backlog based on MITRE ATT&CK
08 July 2024
Securelist
CloudSorcerer – A new APT targeting Russian government entities
25 June 2024
Securelist
Cybersecurity in the SMB space — a growing threat
24 June 2024
Securelist
XZ backdoor: Hook analysis
18 June 2024
Securelist
Analysis of user password strength
Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Yeni bir Tehdit ya da Güvenlik Açığı mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Şunlar için çözümler
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Select language
Sorting
Kaspersky ID
Güvenlik açığı
Detect date
Şiddet
Confirm changes?
Your message has been sent successfully.