BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

KLA11007
Mozilla Thunderbird'deki çoklu güvenlik açıkları
Yüklendi : 07/05/2018
Bulunma tarihi
?
04/30/2017
Şiddet
?
Kritik
Açıklama

Mozilla Thunderbird'de birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar bu güvenlik açıklarından yararlanabilir ve hizmet reddine, ayrıcalık kazanmaya, isteğe bağlı kod çalıştırmaya, yerel dosyaları okumaya ve yazmaya neden olur.

Aşağıda güvenlik açıklarının tam listesi:

  1. SMIL'de kullanım sonrası ücretsiz güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
  2. Editörde işlem sırasında kullanım sonrası bir güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir.
  3. Graphite 2 kütüphanesindeki sınır dışı bir yazma güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir.
  4. Network Güvenlik Hizmetleri (NSS) kitaplığındaki Base64 kod çözümlemesinde sınır dışı bir yazma güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
  5. WebGL'de bir arabellek taşması güvenlik açığı hizmet reddine neden olmak için uzaktan kullanılabilir;
  6. İzole edilmiş verilerin yeniden yüklenmesiyle ilgili Origin karışıklık güvenlik açığı: metin / html URL'si, siteler arası komut dosyası yazma (XSS) saldırısını yürütmek için uzaktan kullanılabilir.
  7. Odak işlemi sırasında kullanım sonrası serbest açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
  8. Metin girişi seçiminde serbest kullanım sonrası bir güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
  9. Çerçeve seçiminde serbest kullanım sonrası bir güvenlik açığı hizmet reddine neden olmak için uzaktan kullanılabilir;
  10. XSLT işlemi sırasında nsAutoPtr'de kullanım sonrası ücretsiz güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
  11. XSLT işlemiyle ilgili txExecutionState yıkıcıda kullanım sonrası ücretsiz güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
  12. XSLT işlemi sırasında nsTArray Length () 'daki boşluksuz kullanımı güvenlik açığı hizmet reddine neden olmak için uzaktan kullanılabilir;
  13. Kaydırma olayları sırasında seçim ile serbest kalıcılığın kullanılması, hizmet reddine neden olmak için uzaktan kullanılabilir.
  14. DOM öğelerini işlerken stil değişiklikleri sırasında kullanım sonrası serbest açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
  15. Erişilebilirliği olan bir bellek bozulması güvenlik açığı ve DOM yönetimi bir hizmet reddine neden olmak için uzaktan kullanılabilir.
  16. BinHex kod çözme sırasında sınır dışı bir yazma güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
  17. Uygulama / http-index-format içeriği ayrıştırılırken bir hizmet reddine veya hassas bir bilgi elde etmek için uzaktan çalıştırılabilirken bir arabellek taşması güvenlik açığı;
  18. HTTP / 2 DATA kareleri yanlış verilerle gönderildiğinde, hizmet reddine neden olmak için uzaktan kötüye kullanılabilecek bir güvenlik açığı okundu;
  19. Glif işleme sırasında sınır dışı okunan bir güvenlik açığı hizmet reddine neden olmak veya hassas bir bilgi edinmek için uzaktan kullanılabilir.
  20. ConvolvePixel'de SVG içeriği işlenirken ve glif işleme sırasında sınır dışı edilmemiş bir güvenlik açığı, bir hizmet reddine veya hassas bir bilgi elde etmek için uzaktan kullanılabilir.
  21. Libevent kütüphanesindeki çoklu sınır dışı okunan güvenlik açıkları, hizmet reddine neden olmak için uzaktan kullanılabilir.
  22. Esnek üretilen kodda çoklu potansiyel arabellek taşmaları, hizmet reddine neden olmak için uzaktan kullanılabilir.
  23. Bellek güvenliği hataları nedeniyle oluşan çoklu bellek bozulması güvenlik açıkları, keyfi kod çalıştırmak için uzaktan kullanılabilir;
  24. Bir kırpma bölgesinin sınırları dışında Skia içeriği çizilirken ortaya çıkan potansiyel bir bellek bozulması, hizmet reddine neden olmak için uzaktan kullanılabilir.
  25. Uygun olmayan bir sanal alandan kurtulma işlemi, güvenlik kısıtlamalarını atlamak ve ayrıcalıklar kazanmak için göreli yollar aracılığıyla dosya seçici aracılığıyla uzaktan kullanılabilir (yerel dosya sistemine salt okunur erişim);
  26. Bilinmeyen bir güvenlik açığı, adressbardaki kullanıcı etkileşimi ve adressbarın taklit edilmesine yönelik onblur olayı aracılığıyla uzaktan kullanılabilir.
  27. CSS animasyonları ile birleştirilen iki yönlü unicode metnin düzenleri ve manipülasyonlarının uygunsuz bir şekilde ele alınması, hizmet reddine neden olmak için uzaktan kullanılabilir.
  28. Ayrıştırma uygulaması / http-index-format içeriği ile ilgili bir güvenlik açığı hizmet reddine neden olmak veya isteğe bağlı kod çalıştırmak için uzaktan kullanılabilir.
  29. NSS (Network Security Services) kitaplığında uygun olmayan bir DRBG numarası üretimi, hizmet reddine neden olmak veya isteğe bağlı kod çalıştırmak için uzaktan kullanılabilir.

Not: Bu güvenlik açığı kamuya açık CVSS derecesine sahip değildir, bu nedenle derecelendirme zamanla değiştirilebilir.

Not: Bu anda Mozilla, bu güvenlik açıkları için CVE numaralarını rezerve etti. Bilgi yakında değiştirilebilir.

Etkilenmiş ürünler

Mozilla Thunderbird 52.1 önce

Çözüm

En son sürüme güncelle
Mozilla Thunderbird'i indirin

Orijinal öneriler

MFSA 2017-13

Etkiler
?
WLF 
[?]

RLF 
[?]

ACE 
[?]

OSI 
[?]

XSSCSS 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Alakalı ürünler
Mozilla Thunderbird
CVE-IDS
?

CVE-2017-5429
CVE-2017-5430
CVE-2017-5467
CVE-2017-5462
CVE-2017-5451
CVE-2017-5449
CVE-2017-5445
CVE-2017-5469
CVE-2017-5454
CVE-2017-5465
CVE-2017-5447
CVE-2017-5446
CVE-2017-5444
CVE-2017-5443
CVE-2017-5464
CVE-2017-5442
CVE-2017-5441
CVE-2017-5440
CVE-2017-5439
CVE-2017-5438
CVE-2017-5460
CVE-2017-5432
CVE-2017-5434
CVE-2017-5466
CVE-2017-5459
CVE-2017-5436
CVE-2017-5435
CVE-2017-5433
CVE-2017-5461
CVE-2016-10197
CVE-2016-10196
CVE-2016-10195
CVE-2016-6354


Orijinaline link