Amazon Linux 2: thunderbird (ALAS-2023-1951)

critical Nessus 插件 ID 171818

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 thunderbird 版本低于 102.7.1-1。因此，该软件受到 ALAS2-2023-1951 公告中提及的多个漏洞影响。

2025-01-30：已将 CVE-2022-31744 添加到此公告中。

2025-01-30：已将 CVE-2022-3155 添加到此公告中。

2024-05-23：已将 CVE-2023-0430 添加到此公告中。

一个过时的图形库 (Angle) 可能包含会被攻击者利用的漏洞。此漏洞会影响 Thunderbird < 78.9 和 Firefox ESR < 78.9。(CVE-2021-4127)

Mozilla 开发人员及社区成员 Julian Hector、Randell Jesup、Gabriele Svelto、Tyson Smith、Christian Holler 和 Masayuki Nakano 报告 Firefox 94 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox < 95 、Firefox ESR < 91.4.0 和 Thunderbird < 91.4.0。(CVE-2021-4129)

在 Mozilla 中发现一个缺陷。Mozilla Foundation 安全公告中述及以下问题：如果攻击者损坏了对象原型，他们就能够在 JavaScript 对象上设置不需要的属性，从而以特权身份执行代码。(CVE-2022-2200)

在 Mozilla 中发现一个缺陷。Mozilla Foundation 安全公告中述及以下问题：在 macOS 上保存或打开电子邮件附件时，Thunderbird 未对接收的文件设置 com.apple.quarantine 属性。如果收到的文件是应用程序，且用户尝试打开它，则该应用程序会立即启动，而不会要求用户确认。(CVE-2022-3155)

攻击者可能已将 CSS 注入可通过内部 URI 访问的样式表例如（如 resource:），从而绕过页面的内容安全策略。此漏洞会影响 Firefox ESR < 91.11、Thunderbird < 102、Thunderbird < 91.11 和 Firefox < 101。(CVE-2022-31744)

解码 H264 视频时可能发生越界读取。这会导致潜在可利用的崩溃。
此漏洞会影响 Firefox ESR < 102.3、Thunderbird < 102.3 和 Firefox < 105。(CVE-2022-3266)

如果用户点击 <code>javascript:</code> 链接，则不可以运行脚本的 iframe 将能够运行脚本。此漏洞会影响 Firefox < 102、Firefox ESR < 91.11、Thunderbird < 102 和 Thunderbird < 91.11。(CVE-2022-34468)

会话历史记录导航可能导致释放后使用和易被利用的崩溃问题。此漏洞会影响 Firefox < 102、Firefox ESR < 91.11、Thunderbird < 102 和 Thunderbird < 91.11。
(CVE-2022-34470)

在 Mozilla 中发现一个缺陷。Mozilla Foundation 安全公告中述及以下问题：如果设置了 PAC URL 但无法访问托管该 PAC 的服务器，则 OCSP 请求将被阻止，从而导致系统显示不正确的错误页面。(CVE-2022-34472)

在 Mozilla 中发现一个缺陷。Mozilla Foundation 安全公告中述及以下问题：可创建弹出窗口的恶意网站可能会调整弹出窗口的大小，使自己的内容覆盖地址栏，从而可能造成用户混淆不清或造成欺骗攻击。CVE-2022-34479

在 Mozilla 中发现一个缺陷。Mozilla Foundation 安全公告述及以下问题：当要替换的元素数量对于容器来说过多时，“nsTArray_Impl::ReplaceElementsAt()”函数中可能会发生整数溢出问题。(CVE-2022-34481)

Mozilla Fuzzing Team 报告 Thunderbird 91.10 中存在潜在漏洞。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox < 102、Firefox ESR < 91.11、Thunderbird < 102 和 Thunderbird < 91.11。(CVE-2022-34484)

已在 Mozilla Firefox 和 Firefox ESR 中发现基于堆栈的缓冲区溢出漏洞。如果被覆盖的缓冲区是在堆栈上分配（即被覆盖的缓冲区是本地变量，或在极少情况下是函数的参数），就会产生此漏洞。攻击者可利用此漏洞造成拒绝服务式的程序崩溃。未经身份验证的远程攻击者要利用此漏洞，需要诱使用户访问特制的网站或打开恶意文档。
(CVE-2022-40961)

如果 Thunderbird 用户从 HTML 电子邮件引用（例如通过回复电子邮件），并且该电子邮件包含具有 POSTER 属性的 VIDEO 标记或具有 DATA 属性的 OBJECT 标记，则无论阻断远程内容的配置如何，都可以对引用的远程 URL 执行网络请求。
从 POSTER 属性加载的图像显示在编辑器窗口中。攻击者可以利用这些问题获得更多功能，从而对尚未修复大约 3 个月前所报告的 CVE-2022-3033 漏洞的版本执行攻击。此漏洞会影响 Thunderbird < 102.5.1。
(CVE-2022-45414)

RESERVEDNOTE：https://www.mozilla.org/en-US/security/advisories/mfsa2022-51/#CVE-2022-46871(CVE-2022-46871)

Mozilla Foundation 安全公告对此缺陷的描述如下：危害内容进程的攻击者可通过与剪贴板相关的 IPC 消息部分转义沙盒，以读取任意文件。

*此错误仅影响 Linux 版 Firefox。其他操作系统不受影响。*(CVE-2022-46872)

具有长文件名的文件其文件名可能被截断以删除有效的扩展名，然后在此位置留下恶意扩展名。这可能导致用户混淆以及恶意代码执行。<br/>*注意*：此问题最初包含在 Thunderbird 102.6 的公告中，但由于缺少一个特定于 Thunderbird 的补丁，此问题实际是在 Thunderbird 102.6.1 中修复。此漏洞会影响 Firefox < 108、Thunderbird < 102.6.1、Thunderbird < 102.6 和 Firefox ESR < 102.6。(CVE-2022-46874)

通过混淆浏览器，全屏通知可能被延迟或隐藏，从而可能导致用户混淆或欺骗攻击。此漏洞会影响 Firefox < 108。(CVE-2022-46877)

Mozilla 开发人员 Randell Jesup、Valentin Gosu、Olli Pettay 及 Mozilla Fuzzing 团队报告，Thunderbird 102.5 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。此漏洞会影响 Firefox < 108、Firefox ESR < 102.6 和 Thunderbird < 102.6。(CVE-2022-46878)

缺少与 tex 单元相关的检查可能导致释放后使用漏洞，以及可能被利用的程序崩溃问题。<br />*注意*：在深入了解此问题的影响后，我们于 2022 年 12 月 13 日添加了此公告。此补丁包含在 Firefox 105 的原始版本中。该漏洞影响 Firefox ESR < 102.6、Firefox < 105 和 Thunderbird < 102.6。(CVE-2022-46880)

Mozilla Foundation 安全公告对此缺陷的描述如下：WebGL 中的优化在某些情况下不正确，可导致内存损坏以及可能被利用的程序崩溃问题。(CVE-2022-46881)

Mozilla Foundation 安全公告对此缺陷的描述如下：WebGL 扩展中的释放后使用漏洞可导致可能被利用的程序崩溃问题。(CVE-2022-46882)

验证 S/Mime 签名时未检查证书 OCSP 吊销状态。使用已撤消的证书签名的邮件将显示为具有有效签名。Thunderbird 68 至 102.7.0 版受到此错误影响。此漏洞会影响 Thunderbird < 102.7.1。(CVE-2023-0430)

Mozilla 基金会安全公告将此缺陷描述为：

由于 Firefox GTK 封装程序代码使用文本/纯文本表示拖动数据，并且 GTK 会将所有包含文件 URL 的文本/纯文本 MIME 视为被拖动的数据，因此网站可通过调用 DataTransfer.setData 来任意读取文件。(CVE-2023-23598)

Mozilla 基金会安全公告将此缺陷描述为：

将开发人员工具面板中的网络请求复制为 curl 命令时，程序未正确审查输出，因而可能导致其中隐藏任意命令。(CVE-2023-23599)

Mozilla 基金会安全公告将此缺陷描述为：

将 URL 从跨源 iframe 拖动到同一个选项卡中时允许导航，这可导致网站欺骗攻击 (CVE-2023-23601)

Mozilla 基金会安全公告将此缺陷描述为：

在 WebWorker 中创建 WebSocket 时，安全检查处理错误可导致内容安全策略 connect-src 标头被忽略。这可导致从 WebWorker 内部连接到受限制的源。 (CVE-2023-23602)

用于从 console.log 调用的样式指令中过滤出禁用的属性和值的正则表达式未考虑外部 URL。数据可能随后从浏览器中泄露。 (CVE-2023-23603)

Mozilla 基金会安全公告将此缺陷描述为：

Mozilla 开发人员及 Mozilla Fuzzing 团队报告，Firefox 108 与 Firefox ESR 102.6 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2023-23605)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。