Mozilla Thunderbird'deki çoklu güvenlik açıkları

Açıklama

Mozilla Thunderbird'de birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar bu güvenlik açıklarından yararlanabilir ve hizmet reddine, ayrıcalık kazanmaya, isteğe bağlı kod çalıştırmaya, yerel dosyaları okumaya ve yazmaya neden olur.

Aşağıda güvenlik açıklarının tam listesi:

1. SMIL'de kullanım sonrası ücretsiz güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
2. Editörde işlem sırasında kullanım sonrası bir güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir.
3. Graphite 2 kütüphanesindeki sınır dışı bir yazma güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir.
4. Network Güvenlik Hizmetleri (NSS) kitaplığındaki Base64 kod çözümlemesinde sınır dışı bir yazma güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
5. WebGL'de bir arabellek taşması güvenlik açığı hizmet reddine neden olmak için uzaktan kullanılabilir;
6. İzole edilmiş verilerin yeniden yüklenmesiyle ilgili Origin karışıklık güvenlik açığı: metin / html URL'si, siteler arası komut dosyası yazma (XSS) saldırısını yürütmek için uzaktan kullanılabilir.
7. Odak işlemi sırasında kullanım sonrası serbest açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
8. Metin girişi seçiminde serbest kullanım sonrası bir güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
9. Çerçeve seçiminde serbest kullanım sonrası bir güvenlik açığı hizmet reddine neden olmak için uzaktan kullanılabilir;
10. XSLT işlemi sırasında nsAutoPtr'de kullanım sonrası ücretsiz güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
11. XSLT işlemiyle ilgili txExecutionState yıkıcıda kullanım sonrası ücretsiz güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
12. XSLT işlemi sırasında nsTArray Length () 'daki boşluksuz kullanımı güvenlik açığı hizmet reddine neden olmak için uzaktan kullanılabilir;
13. Kaydırma olayları sırasında seçim ile serbest kalıcılığın kullanılması, hizmet reddine neden olmak için uzaktan kullanılabilir.
14. DOM öğelerini işlerken stil değişiklikleri sırasında kullanım sonrası serbest açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
15. Erişilebilirliği olan bir bellek bozulması güvenlik açığı ve DOM yönetimi bir hizmet reddine neden olmak için uzaktan kullanılabilir.
16. BinHex kod çözme sırasında sınır dışı bir yazma güvenlik açığı, hizmet reddine neden olmak için uzaktan kullanılabilir;
17. Uygulama / http-index-format içeriği ayrıştırılırken bir hizmet reddine veya hassas bir bilgi elde etmek için uzaktan çalıştırılabilirken bir arabellek taşması güvenlik açığı;
18. HTTP / 2 DATA kareleri yanlış verilerle gönderildiğinde, hizmet reddine neden olmak için uzaktan kötüye kullanılabilecek bir güvenlik açığı okundu;
19. Glif işleme sırasında sınır dışı okunan bir güvenlik açığı hizmet reddine neden olmak veya hassas bir bilgi edinmek için uzaktan kullanılabilir.
20. ConvolvePixel'de SVG içeriği işlenirken ve glif işleme sırasında sınır dışı edilmemiş bir güvenlik açığı, bir hizmet reddine veya hassas bir bilgi elde etmek için uzaktan kullanılabilir.
21. Libevent kütüphanesindeki çoklu sınır dışı okunan güvenlik açıkları, hizmet reddine neden olmak için uzaktan kullanılabilir.
22. Esnek üretilen kodda çoklu potansiyel arabellek taşmaları, hizmet reddine neden olmak için uzaktan kullanılabilir.
23. Bellek güvenliği hataları nedeniyle oluşan çoklu bellek bozulması güvenlik açıkları, keyfi kod çalıştırmak için uzaktan kullanılabilir;
24. Bir kırpma bölgesinin sınırları dışında Skia içeriği çizilirken ortaya çıkan potansiyel bir bellek bozulması, hizmet reddine neden olmak için uzaktan kullanılabilir.
25. Uygun olmayan bir sanal alandan kurtulma işlemi, güvenlik kısıtlamalarını atlamak ve ayrıcalıklar kazanmak için göreli yollar aracılığıyla dosya seçici aracılığıyla uzaktan kullanılabilir (yerel dosya sistemine salt okunur erişim);
26. Bilinmeyen bir güvenlik açığı, adressbardaki kullanıcı etkileşimi ve adressbarın taklit edilmesine yönelik onblur olayı aracılığıyla uzaktan kullanılabilir.
27. CSS animasyonları ile birleştirilen iki yönlü unicode metnin düzenleri ve manipülasyonlarının uygunsuz bir şekilde ele alınması, hizmet reddine neden olmak için uzaktan kullanılabilir.
28. Ayrıştırma uygulaması / http-index-format içeriği ile ilgili bir güvenlik açığı hizmet reddine neden olmak veya isteğe bağlı kod çalıştırmak için uzaktan kullanılabilir.
29. NSS (Network Security Services) kitaplığında uygun olmayan bir DRBG numarası üretimi, hizmet reddine neden olmak veya isteğe bağlı kod çalıştırmak için uzaktan kullanılabilir.

Not: Bu güvenlik açığı kamuya açık CVSS derecesine sahip değildir, bu nedenle derecelendirme zamanla değiştirilebilir.

Not: Bu anda Mozilla, bu güvenlik açıkları için CVE numaralarını rezerve etti. Bilgi yakında değiştirilebilir.

Orijinal öneriler

• MFSA 2017-13

CVE Listesi

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com