Amazon Linux 2: thunderbird，--advisory ALAS2-2026-3290 (ALAS-2026-3290)

medium Nessus 插件 ID 314564

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 thunderbird 版本低于 140.10.0-1。因此，该软件受到 ALAS2-2026-3290 公告中提及的多个漏洞影响。

thin_vec crate 中“IntoIter：:d rop”和“ThinVec：：clear”函数中的双重释放/释放后使用（UAF）。“ptr：:d rop_in_place”中的错误跳过将长度设置为零。（CVE-2026-6654）

DOM： Core &; HTML 组件中的释放后使用。在 Firefox 150、Firefox ESR 115.35和 Firefox ESR 140.10中已修复此漏洞。（CVE-2026-6746）

WebRTC 组件中的释放后使用。已在 Firefox 150 和 Firefox ESR 140.10中修复此漏洞。（CVE-2026-6747）

Audio/Video： Web Codecs 组件中未初始化的内存。已在 Firefox 150 和 Firefox ESR 140.10中修复此漏洞。（CVE-2026-6748）

由于 Graphics： Canvas2D 组件中未初始化的内存导致信息泄露。在 Firefox 150、Firefox ESR 115.35和 Firefox ESR 140.10中已修复此漏洞。（CVE-2026-6749）

Graphics： WebRender 组件中的权限升级。在 Firefox 150、Firefox ESR 115.35和 Firefox ESR 140.10中已修复此漏洞。（CVE-2026-6750）

Audio/Video： Web Codecs 组件中未初始化的内存。已在 Firefox 150 和 Firefox ESR 140.10中修复此漏洞。（CVE-2026-6751）

WebRTC 组件中错误的边界条件。在 Firefox 150、Firefox ESR 115.35和 Firefox ESR 140.10中已修复此漏洞。（CVE-2026-6752）

WebRTC 组件中错误的边界条件。已在 Firefox 150 和 Firefox ESR 140.10中修复此漏洞。（CVE-2026-6753）

JavaScript Engine 组件中的释放后使用漏洞。在 Firefox 150、Firefox ESR 115.35和 Firefox ESR 140.10中已修复此漏洞。（CVE-2026-6754）

JavaScript： WebAssembly 组件中的指针无效。已在 Firefox 150 和 Firefox ESR 140.10中修复此漏洞。（CVE-2026-6757）

Networking 组件中的权限升级。已在 Firefox 150 和 Firefox ESR 140.10中修复此漏洞。（CVE-2026-6761）

DOM： Core &; HTML 组件中的欺骗问题。在 Firefox 150、Firefox ESR 115.35和 Firefox ESR 140.10中已修复此漏洞。（CVE-2026-6762）

File Handling 组件中的缓解措施绕过。已在 Firefox 150 和 Firefox ESR 140.10中修复此漏洞。（CVE-2026-6763）

DOM： Device Interfaces 组件中的边界条件不正确。已在 Firefox 150 和 Firefox ESR 140.10中修复此漏洞。（CVE-2026-6764）

表单自动填充组件中的信息泄露。已在 Firefox 150 和 Firefox ESR 140.10中修复此漏洞。（CVE-2026-6765）

NSS 的 Libraries 组件中错误的边界条件。此漏洞已在 Firefox 150、Firefox ESR 140.10、Thunderbird 150 和 Thunderbird 140.10 中修复。(CVE-2026-6766)

NSS 的 Libraries 组件中的其他问题。在 Firefox 150、Firefox ESR 115.35和 Firefox ESR 140.10中已修复此漏洞。（CVE-2026-6767）

调试程序组件中的权限升级。已在 Firefox 150 和 Firefox ESR 140.10中修复此漏洞。（CVE-2026-6769）

Storage： IndexedDB 组件中的其他问题。已在 Firefox 150 和 Firefox ESR 140.10中修复此漏洞。（CVE-2026-6770）

DOM 中的缓解绕过：安全组件。已在 Firefox 150 和 Firefox ESR 140.10中修复此漏洞。（CVE-2026-6771）

NSS 的 Libraries 组件中错误的边界条件。在 Firefox 150、Firefox ESR 115.35和 Firefox ESR 140.10中已修复此漏洞。（CVE-2026-6772）

WebRTC： Networking 组件中的边界条件不正确。已在 Firefox 150 和 Firefox ESR 140.10中修复此漏洞。（CVE-2026-6776）

Firefox ESR 115.34、Firefox ESR 140.9、Thunderbird ESR 140.9、Firefox 149 和 Thunderbird 149 中存在内存安全缺陷。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2026-6785)

Firefox ESR 140.9、Thunderbird ESR 140.9、Firefox 149 和 Thunderbird 149 中存在内存安全错误。
其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2026-6786)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。