BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

KLA10956
Mozilla Thunderbird'deki çoklu güvenlik açıkları
Yüklendi : 07/05/2018
Bulunma tarihi
?
01/26/2017
Şiddet
?
Kritik
Açıklama

Mozilla Thunderbird'de birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar, hassas bilgileri elde etmek, keyfi kod çalıştırmak, hizmet reddine neden olmak, kullanıcı arabirimini kullanmak ve ayrıcalık yükseltme sağlamak için bu güvenlik açıklarından yararlanabilir.

Aşağıda güvenlik açıklarının tam listesi

  1. JIT kod ayırmasındaki bellek bozulması güvenlik açığı, ASLR ve DEP korumalarını atlamak ve sonuç olarak hizmet reddine neden olmak için uzaktan kullanılabilir.
  2. XSLT belgelerinde XSL'yi işlerken, ücretsiz kullanabilme güvenlik açığı uzaktan kullanılabilir.
  3. Java komut dosyası güvenlik açığı sayfalarında paylaşım karma kodlarının yanlış işlenmesi, hizmet reddine neden olmak için uzaktan kullanılabilir;
  4. SVG içeriğinin DOM manipulasyonu sırasında serbest-kullanım-sonrası savunmasızlık fuzzing yoluyla uzaktan kullanılabilir;
  5. Json Viewer'daki Geliştirici Araçları'ndaki güvensiz yöntemler, potansiyel bir ayrıcalık yükselmesine izin vermek için uzaktan kullanılabilir.
  6. Media Decoder'daki serbest kullanım sonrası güvenlik açığı, hassas bilgileri elde etmek için uzaktan kullanılabilir;
  7. Bazı Unicode karakterlerin URL'lerde yanlış kullanımı, alan adlarının konum çubuğunda sahteciliğini sağlamak için uzaktan kullanılabilir.
  8. Bellek bozulması güvenlik açığı keyfi kod çalıştırmak için uzaktan kullanılabilir;

Teknik detaylar

Güvenlik açığı (5), JSON veya HTTP üstbilgileri verilerinin kopyalanması ve görüntülenmesi için bir iletişim kanalı oluşturmada güvensiz yöntemler kullanılarak kaynaklanabilir.

Not: Bu güvenlik açıkları kamuya açık CVSS derecesine sahip değildir, bu nedenle derecelendirme zamanla değiştirilebilir.

Not: Bu anda Mozilla, bu güvenlik açıkları için CVE numaralarını rezerve etti. Bilgi yakında değiştirilebilir.

Etkilenmiş ürünler

Mozilla Thunderbird sürümleri 45.7'den önceki

Çözüm

En son sürüme güncelle
Mozilla Thunderbird

Orijinal öneriler

MFSA

Etkiler
?
SUI 
[?]

ACE 
[?]

OSI 
[?]

PE 
[?]

DoS 
[?]
Alakalı ürünler
Mozilla Thunderbird
CVE-IDS
?

CVE-2017-5373
CVE-2017-5383
CVE-2017-5396
CVE-2017-5390
CVE-2017-5380
CVE-2017-5378
CVE-2017-5376
CVE-2017-5375


Orijinaline link