SR10-045 Mozilla - Flera sårbarheter i SeaMonkey och Thunderbird

Nya uppdateringar har släppts för Mozilla SeaMonkey och Thunderbird. Flera säkerhetshål har rättats varav de allvarligaste kan leda till att godtycklig kod kan köras på det sårbara systemet.

Problembeskrivning

CVE-referens: CVE-2009-0689 CVE-2009-2463 CVE-2009-3072 CVE-2009-3075 CVE-2009-3077 CVE-2009-3385 CVE-2009-3983 CVE-2010-0161 CVE-2010-0163

Flera sårbarheter har upptäckts i Mozilla SeaMonkey och Thunderbird. Sårbarheterna listas nedan:

1.) En sårbarhet i hantering av "<iframe>"-objekt i e-postmeddelanden. Effektivt utnyttjande kan leda till informationläckage.

2.) En sårbarhet som orsakas av "medlemskap" i Active Dirctory Server på Windows 7 eller Vista. Effektivt utnyttjande kan leda till att godtycklig kod kan köras på det sårbara systemet.

2.) En sårbarhet som orsakas av indexering av vissa meddelanden med bilagor. Effektivt utnyttjande kan leda till en systemkrasch eller att godtycklig kod kan köras på det sårbara systemet.

4.) En ospecificerad sårbarhet i JavaScript-motorn kan utnyttjas för att få systemet att krascha eller exekvering av godtycklig kod.

5.) En felaktighet i BinHex-dekodern vid användning på andra plattofrmar änr MAC. Effektivt utnyttjande kan leda till en systemkrasch eller att godtycklig kod kan köras på det sårbara systemet.

Följande säkerhetsforskare krediteras för fynden:

Georgi Guninski

Paul Fisher

Ludovic Hirlimann

Carsten Book

Josh Soref

monarch2000

en anonym person via ZDI

Takehiro Takahashi

Påverkade versioner

• Versioner före Thunderbird 2.0.0.24
• Versioner före SeaMonkey 1.1.19

Mer information och programrättningar

http://www.mozilla.org/security/announce/2010/mfsa2010-06.html

http://www.mozilla.org/security/announce/2010/mfsa2010-07.html

http://www.mozilla.org/security/announce/2009/mfsa2009-49.html

http://www.mozilla.org/security/announce/2009/mfsa2009-59.html

http://www.mozilla.org/security/announce/2009/mfsa2009-68.html