BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

KLA10889
Mozilla Thunderbird'deki çoklu güvenlik açıkları
Yüklendi : 07/05/2018
Bulunma tarihi
?
10/20/2016
Şiddet
?
Kritik
Açıklama

Mozilla Thunderbird'de birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar bu güvenlik açıklarından yararlanabilir ve hizmet reddine, isteğe bağlı kod çalıştırmaya, güvenlik sınırlamalarını atlatmaya veya hassas bilgiler edinmeye neden olabilir.

Aşağıda güvenlik açıklarının tam listesi

  1. Yığın arabellek taşması, hizmet reddine neden olması veya başka bir bilinmeyen hata iletmesi için özel olarak tasarlanmış bir içerik aracılığıyla uzaktan kullanılabilir.
  2. Kötü cast, isteğe bağlı kod yürütmek için özel olarak tasarlanmış bir içerik üzerinden uzaktan kullanılabilir;
  3. Öbek kullanımı-ard arda, isteğe bağlı kodu yürütmek için özel olarak tasarlanmış bir içerik aracılığıyla uzaktan kullanılabilir;
  4. Kullanım serbest bırakma güvenlik açıkları, hizmet reddine veya rasgele kod yürütmeye neden olmak için Web Animations manipülasyonları aracılığıyla uzaktan kullanılabilir;
  5. Yığın arabellek taşması, isteğe bağlı kod yürütmek için özel olarak tasarlanmış bir görüntü aracılığıyla uzaktan kullanılabilir;
  6. Keyif kodunun yürütülmesi için özel olarak tasarlanmış bir içerik aracılığıyla ücretsiz olarak kullanılabilecek güvenlik açıkları kullanılabilir.
  7. Uygun olmayan önceden yüklenmiş bir Genel Anahtar Sabitleme güncelleştirmesi, güvenlik kısıtlamalarını atlamak için sertifika manipulasyonları aracılığıyla kullanılabilir;
  8. Kaynak Zamanlaması Eksikliği API kısıtlamaları, hassas bilgiler elde etmek için özel olarak tasarlanmış bir içerik aracılığıyla uzaktan kullanılabilir.
  9. Birden çok bilinmeyen güvenlik açığı hizmet reddine neden olmak veya olasılıkla isteğe bağlı kod çalıştırmak için uzaktan kullanılabilir.

Teknik detaylar

NsCaseTransformTextRunFactory :: TransformString ile ilgili güvenlik açığı (1) ve özel olarak tasarlanmış bir unicode karakterleri ile tetiklenebilir.

INPUT öğelerini doğru şekilde işleyemeyen nsImageGeometryMixin ile ilgili Güvenlik Açığı (2) .

Güvenlik açığı (3) , mozilla :: a11y :: DocAccessible :: ProcessInvalidationList ile ilişkilidir ve aria-owns özniteliği aracılığıyla tetiklenebilir.

NsFrameManager :: CaptureFrameState ile ilgili olarak, restyling ve Web Animations model uygulaması arasında uygunsuz etkileşimden yararlanılarak yararlanılabilecek güvenlik açığı (4) . Bu güvenlik açığı, zaman çizelgesi imhası ile Web Animasyonları modeli uygulaması arasında uygunsuz etkileşimden yararlanılarak yararlanılabilen nsRefreshDriver :: Tick ile de ilgilidir.

Güvenlik açığı (5) nsBMPEncoder :: AddImageFrame ile ilişkilidir ve bir görüntü çerçevesinin bir görüntüye kodlanması sırasında tetiklenebilir.

İki yönlü metinle yararlanılabilen mozilla :: nsTextNodeDirectionalityMap :: RemoveElementFromMap ile ilgili Güvenlik Açığı (6) . Bu güvenlik açığı, JavaScript kodu ve bir SVG belgesi arasında uygunsuz etkileşimden yararlanılarak yararlanılabilen DOMSVGLength ile de ilgilidir.

Güvenlik açığı (7) , isteğe bağlı yerleşik Sertifika Yetkilisi tarafından imzalanan addons.mozilla.org için bir X.509 sunucu sertifikası bulundurmaktan yararlanılarak kullanılabilir. Eklenti yüklememiş olan kullanıcılar etkilenmez.

Güvenlik açığı (8) , daha önce ziyaret edilen sayfalar hakkında bilgi edinmek için kullanılabilir.

Etkilenmiş ürünler

Mozilla Thunderbird sürümleri 45.4'ten önceki sürümler

Çözüm

En son sürüme güncelle
Mozilla Thunderbird indirme sayfası

Orijinal öneriler

Mozilla Foundation Security Advisory

Etkiler
?
ACE 
[?]

OSI 
[?]

SB 
[?]

DoS 
[?]
Alakalı ürünler
Mozilla Thunderbird
CVE-IDS
?

CVE-2016-5257
CVE-2016-5270
CVE-2016-5272
CVE-2016-5274
CVE-2016-5276
CVE-2016-5277
CVE-2016-5278
CVE-2016-5280
CVE-2016-5281
CVE-2016-5284
CVE-2016-5250


Orijinaline link