Amazon Linux 2：thunderbird (ALAS-2024-2477)

medium Nessus 插件 ID 191512

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 thunderbird 版本低于 115.8.0-1。因此，它受到 ALAS2-2024-2477 公告中提及的多个漏洞影响。

- 当在网络通道上存储和重新访问数据时，缓冲区长度可能受到混淆，进而导致越界内存读取攻击。该漏洞影响 Firefox < 123、Firefox ESR < 115.8 和 Thunderbird < 115.8。(CVE-2024-1546)

- 通过一系列 API 调用和重定向，由攻击者控制的警报对话框可能会在其他网站上显示（显示受害者网站的 URL）。该漏洞影响 Firefox < 123、Firefox ESR < 115.8 和 Thunderbird < 115.8。(CVE-2024-1547)

- 网站可通过使用下拉选择输入元素掩盖全屏通知。这有可能导致用户混淆或潜在的欺骗攻击。该漏洞影响 Firefox < 123、Firefox ESR < 115.8 和 Thunderbird < 115.8。(CVE-2024-1548)

- 如果网站设置了大型自定义光标，则光标的部分内容可能与权限对话框重叠，从而可能导致用户混淆和意外授予权限。该漏洞影响 Firefox < 123、Firefox ESR < 115.8 和 Thunderbird < 115.8。(CVE-2024-1549)

- 恶意网站可结合使用退出全屏模式和 `requestPointerLock`，造成用户鼠标意外重新定位，进而导致用户混淆，并无意中授予不该授予的权限。该漏洞影响 Firefox < 123、Firefox ESR < 115.8 和 Thunderbird < 115.8。(CVE-2024-1550)

- 多部分 HTTP 响应中未正确遵循 Set-Cookie 响应标头。如果攻击者可以控制 Content-Type 响应标头以及部分响应正文，则可注入浏览器遵循的 Set-Cookie 响应标头。该漏洞影响 Firefox < 123、Firefox ESR < 115.8 和 Thunderbird < 115.8。(CVE-2024-1551)

- 在 Firefox 122、Firefox ESR 115.7 和 Thunderbird 115.7 中修复了内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。该漏洞影响 Firefox < 123、Firefox ESR < 115.8 和 Thunderbird < 115.8。(CVE-2024-1553)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。