Detalji

U radu programskog paketa Thundebird uočeni su i ispravljeni višestruki sigurnosni nedostaci. Udaljeni napadač ih može iskoristiti za izvođenje XSS napada i napada uskraćivanjem usluge, izvršavanje proizvoljnog programskog koda, zabilaženje postavljenih ograničenja te čitanje osjetljivih podataka.

Paket: thunderbird 11.x
Operacijski sustavi: CentOS
Kritičnost: 8.7
Problem: neodgovarajuće rukovanje pogreškama, nespecificirana pogreška, pogreška u programskoj funkciji, pogreška u programskoj komponenti, preljev međuspremnika
Iskorištavanje: lokalno/udaljeno
Posljedica: otkrivanje osjetljivih informacija, proizvoljno izvršavanje programskog koda, uskraćivanje usluga (DoS), zaobilaženje postavljenih ograničenja
Rješenje: programska zakrpa proizvođača
CVE: CVE-2011-3101, CVE-2012-1937, CVE-2012-1945, CVE-2012-1938, CVE-2012-1939, CVE-2012-1944, CVE-2012-1940, CVE-2012-1941, CVE-2012-1946, CVE-2012-1947
Izvorni ID preporuke: 2012:0715
Izvor: CentOS
 
Problem:
Propusti su posljedica pogrešaka u datoteci "jsinfer.cpp", implementaciji "Content Security Policy (CSP)" te funkcijama "nsFrameList::FirstChild", "utf16_to_isolatin1" i "nsHTMLReflowState::CalculateHypotheticalBox". Dio propusta nastaje uslijed obrade oštećenog sadržaja.
Posljedica:
Propuste je moguće iskoristiti za izvođenje XSS napada i napada uskraćivanjem usluge, proizvoljno izvršavanje programskog koda, obilaženje postavljenih ograničenja te otkrivanje osjetljivih podataka.
Rješenje:
Korisnicima se savjetuje prelazak na ispravljenu inačicu.

Izvorni tekst preporuke
Idi na vrh