Mozilla Thunderbird はスタンドアロンのメールおよびニュースグループクライアントです。

Thunderbird が nsDOMAttribute 子ノードを削除する方法で、use-after-free の欠陥が見つかりました。特定の状況では AttributeChildRemoved の早期通知により、悪意あるスクリプトがこの欠陥を利用して Thunderbird をクラッシュさせたり、 Thunderbird を実行しているユーザーの権限で任意のコードを実行できる可能性があります。（CVE-2011-3659）

無効な形式のコンテンツの処理で、いくつかの欠陥が見つかりました。悪意のあるコンテンツが含まれる HTML メールメッセージによって、Thunderbird がクラッシュしたり、Thunderbird を実行しているユーザー権限で任意のコードを実行したりする可能性があります。（CVE-2012-0442）

拡張可能スタイルシート言語変換（XSLT）が含まれている一部のスケーラブル・ベクター・グラフィックス（SVG）イメージファイルを Thunderbird が解析する方法で、欠陥が見つかりました。悪意のある SVG イメージファイルが含まれている HTML メールメッセージにより、Thunderbird をクラッシュさせたり、 Thunderbird を実行しているユーザーの権限で任意のコードを実行できる可能性があります。（CVE-2012-0449）

Thunderbird の同一生成元ポリシーが http://example.com と http://[example.com] を代替可能として処理しています。悪意のあるスクリプトはこの欠陥を利用することで、角かっこを使用して無効な URL に応答して生成された HTTP プロキシエラー応答に含まれている機密情報（クライアントの IP、ユーザーの電子メールアドレス、または httpOnly クッキー）にアクセスできる可能性があります。（CVE-2011-3670）

注：メールメッセージに対して JavaScript がデフォルトで無効になっているため、CVE-2011-3659 と CVE-2011-3670 の問題は、特別に細工された HTML メールメッセージにより悪用されません。RSS フィードのフルリモートコンテンツを表示する場合など、 Thunderbird では別の方法で悪用される可能性があります。

これらの欠陥の技術的な詳細については、Thunderbird 3.1.18 向けの Mozilla セキュリティアドバイザリを参照してください。

Thunderbird のすべてのユーザーは、Thunderbird バージョン 3.1.18 が収納されているこれらの更新済みパッケージにアップグレードし、これらの問題を解決する必要があります。この更新を有効にするには、更新をインストールした後、Thunderbird を再起動する必要があります。

Red Hat セキュリティアドバイザリ 2012:0079 から：

複数のセキュリティ問題を修正する更新済み Firefox パッケージが、 Red Hat Enterprise Linux 4、5、および 6 に利用できるようになりました。

Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響が重大だと評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System （CVSS）のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Mozilla Firefox はオープンソースの Web ブラウザです。XULRunner は、Mozilla Firefox 用の XUL Runtime 環境を提供しています。

Firefox が nsDOMAttribute 子ノードを削除する方法で、use-after-free の欠陥が見つかりました。特定の状況では AttributeChildRemoved の早期通知により、悪意あるスクリプトがこの欠陥を利用して Firefox をクラッシュさせたり、 Firefox を実行しているユーザーの権限で任意のコードを実行できる可能性があります。(CVE-2011-3659)

不正な形式の Web コンテンツの処理に様々な欠陥が見つかりました。悪意のあるコンテンツが含まれる Web ページが、Firefox をクラッシュさせたり、 Firefox を実行しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2012-0442)

Firefox が Ogg Vorbis メディアファイルを解析する方法で欠陥が見つかりました。悪意のある Ogg Vorbis メディアファイルが含まれる Web ページにより、Firefox をクラッシュさせたり、Firefox を実行しているユーザーの権限で任意のコードを実行できる可能性があります。(CVE-2012-0444)

拡張可能スタイルシート言語変換（XSLT）が含まれている一部のスケーラブル・ベクター・グラフィックス（SVG）イメージファイルを Firefox が解析する方法で、欠陥が見つかりました。悪意のある SVG イメージファイルを含む Web ページにより、Firefox をクラッシュさせたり、Firefox を実行しているユーザーの権限で任意のコードを実行できる可能性があります。
(CVE-2012-0449)

Firefox の同一生成元ポリシーが http://example.com と http://[example.com] を代替可能として処理しています。悪意のあるスクリプトはこの欠陥を利用することで、角かっこを使用して無効な URL に応答して生成された HTTP プロキシエラー応答に含まれている機密情報（クライアントの IP、ユーザーの電子メールアドレス、または httpOnly クッキー）にアクセスできる可能性があります。(CVE-2011-3670)

これらの欠陥の技術的な詳細については、Firefox 3.6.26 向けの Mozilla セキュリティアドバイザリを参照してください。Mozilla アドバイザリへのリンクは、このエラータの「参照」セクションにあります。

すべての Firefox ユーザーは、これらの問題を修正する Firefox バ―ジョン 3.6.26 を含む、更新済みのこれらのパッケージにアップグレードする必要があります。更新をインストールした後、変更した内容を反映させるには Firefox を再起動する必要があります。

Mozilla SeaMonkey は 2.7 セキュリティ更新に更新され、セキュリティの問題とバグが修正されました。以下のセキュリティのバグが修正されました：

MFSA 2012-01：Mozilla 開発者が、Firefox およびその他の Mozilla ベースの製品で使用されているブラウザエンジンのいくつかのメモリ安全性のバグを特定し、修正しました。これらのバグの一部には、特定の条件下でのメモリ破損の証拠が示されていました。十分な努力をすれば少なくともこれらの一部を悪用して、任意のコードが実行されることがあると、弊社では推測しています。

一般に Thunderbird および SeaMonkey 製品ではスクリプティングが無効になっているため、これらの欠陥はメールを使って悪用できません。ただし、当該製品のブラウザやブラウザ型のコンテキストでは潜在的なリスクがあります。参照

CVE-2012-0442：Jesse Ruderman 氏および Bob Clary 氏が報告されたメモリ安全性の問題は、Firefox 10 と Firefox 3.6.26 で修正されました。

MFSA 2012-02/CVE-2011-3670：歴史的な理由で Firefox はホスト名を角カッコで囲んだ Web アドレスの解釈に関して寛大です。ホストが有効な IPv6 リテラルアドレスでない場合、 Firefox はホストを正規のドメイン名として解釈しようとしました。Gregory Fleischer の報告によれば、プロキシを介して XMLHttpRequest オブジェクトを使用する IPv6 シンタックスを使って作成されたリクエストによって、 IPv6 のプロキシ構成に応じたエラーが生成されることがあります。プロキシからのその結果のエラーメッセージにより、機密データが漏洩されることがあります。その理由は、同一生成元ポリシー（SOP）により、XMLHttpRequest オブジェクトがこれらのエラーメッセージを読み取ることができ、ユーザーのプライバシーを損なうことができるからです。Firefox が RFC 3986 IPv6 リテラル構文を実施するようになりました。これにより、以前に受け入れられていた非標準の Firefox 独自形式を使用して書き込まれたリンクが、破棄されることがあります。

これは以前に Firefox 7.0、Thunderbird 7.0、SeaMonkey 2.4 で修正されていますが、 2012 年中には Firefox 3.6.26 および Thunderbird 3.1.18 のみで修正されました。

MFSA 2012-04/CVE-2011-3659：セキュリティ研究者 Regenrecht 氏は、 TippingPoint Zero Day イニシアチブで、AttributeChildRemoved の早期通知のため、削除された nsDOMAttribute の子ノードが状況によってはアクセス可能になることを報告しました。子ノードのこの use-after-free により、リモートコードを実行できることがあります。

MFSA 2012-07/CVE-2012-0444：セキュリティ研究者 Regenrecht 氏は、 TippingPoint Zero Day イニシアチブで、Ogg Vorbis ファイルを解読する際にメモリが破損する可能性があることを報告しました。これによって解読の際にクラッシュが発生することがあり、リモートコードが実行される可能性があります。

MFSA 2012-08/CVE-2012-0449：セキュリティ研究者 Nicolas Gregoire 氏と Aki Helin 氏は個別に、無効な形式の埋め込まれた XSLT スタイルシートを処理する場合に、メモリ破損のため Firefox がクラッシュする恐れがあると報告しました。直接に悪用できる証拠はないが、リモートコードを実行する可能性があります。

リモートの Solaris システムに、次のセキュリティの更新に対処するのに必要なパッチがありません：

- 3.6.26 より前、および 4.x から 9.0 の Mozilla Firefox、3.1.18 より前および 5.0 から 9.0 の Thunderbird、および 2.7 より前の SeaMonkey の use-after-free の脆弱性のために、削除された nsDOMAttribute 子ノードへのアクセスに影響する正しくない AttributeChildRemoved 通知に関連するベクトルを介して、リモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2011-3659)

- 3.6.26 より前、および 4.x から 9.0 までの Mozilla Firefox、3.1.18 より前、および 5.0 から 9.0 の Thunderbird、および 2.7 より前の SeaMonkey において、ブラウザエンジンでの複数の特定されていない脆弱性により、リモートの攻撃者は、サービス拒否（メモリ破損とアプリケーションクラッシュ）を引き起こすことができるか、不明なベクトルを通じて、任意のコードを実行する可能性があります。(CVE-2012-0442)

- Mozilla Firefox 4.x から 9.0、Thunderbird 5.0 から 9.0、および 2.7 より前の SeaMonkey において、ブラウザエンジンでの複数の特定されていない脆弱性により、リモートの攻撃者は、サービス拒否（メモリ破損とアプリケーションクラッシュ）を引き起こしたり、不明なベクトルを通じて、任意のコードを実行したりする可能性があります。(CVE-2012-0443)

- Mozilla Firefox 4.x から 9.0、Thunderbird 5.0 から 9.0、および 2.7 より前の SeaMonkey では、サブフレームの名前属性を使用してフォーム送信ターゲットを作成することで、リモートの攻撃者が HTML5 フレーム ナビゲーション ポリシーをバイパスして、任意のサブフレームを置き換える可能性があります。
 (CVE-2012-0445)

- Mozilla Firefox 4.x から 9.0、Thunderbird 5.0 から 9.0、および 2.7 より前の SeaMonkey の複数のクロスサイトスクリプティング（XSS）の脆弱性のために、リモートの攻撃者が、（1）Web ページまたは（2）Firefox 拡張を介して、任意の Web スクリプトを注入する可能性があります。これは、信頼できないオブジェクトを呼び出すフレームスクリプトのための XPConnect セキュリティ制限の施行が不適切であることに関連しています。(CVE-2012-0446)

- Mozilla Firefox 4.x から 9.0、Thunderbird 5.0 から 9.0、および 2.7 より前の SeaMonkey が、image/vnd.microsoft.icon 画像のデータを適切に初期化しないために、ICO 画像からの変換により作成された PNG 画像を読み取ることで、リモートの攻撃者が機密情報を取得する可能性があります。(CVE-2012-0447)

- 3.6.26 より前および 4.x から 9.0 の Mozilla Firefox、3.1.18 より前および 5.0 から 9.0 の Thunderbird、および 2.7 より前の SeaMonkey では、ドキュメントに埋め込まれた無効な形式の XSLT スタイルシートを介して、リモートの攻撃者がサービス拒否（メモリ破損とアプリケーションクラッシュ）を引き起こしたり、任意のコードを実行したりする可能性があります。(CVE-2012-0449)

Nicolas Gregoire 氏と Aki Helin 氏は、無効な形式の埋め込み XSLT スタイルシートを処理するときに、メモリ破損により、Thunderbird がクラッシュする可能性があることを発見しました。ユーザーが騙されて、特別に細工されたページを開いた場合、攻撃者が、これを悪用することにより、アプリケーションのクラッシュでサービス拒否を引き起こしたり、Thunderbird を起動するユーザー権限でコードを実行したりする可能性があります。（CVE-2012-0449）

Ogg Vorbis ファイルをデコードする際にメモリ破損が発生する可能性があることが判明しました。ユーザーが騙されて、特別に細工されたファイルを開いた場合、攻撃者が、これを悪用することにより、アプリケーションのクラッシュでサービス拒否を引き起こしたり、Thunderbird を起動するユーザー権限でコードを実行したりする可能性があります。（CVE-2012-0444）

Tim Abraldes 氏は特定の画像タイプをエンコーディングする場合に、結果として得られるデータが常に固定サイズになることを発見しました。初期化されていないメモリから得た機密データが、これらの画像に付加されている可能性があります。（CVE-2012-0447）

Thunderbird で XPConnect セキュリティチェックが適正に実行されていないことが判明しました。攻撃者がこれを悪用することで、Web ページと Thunderbird 拡張を通じてクロスサイトスクリプティング（XSS）攻撃を行う可能性があります。
クロスサイトスクリプティングの脆弱性で、ユーザーが騙されて、特別に細工されたページを表示すると、リモートの攻撃者がこれを悪用してコンテンツを改竄したり、同一ドメイン内で機密データを盗み出したりするおそれがあります。（CVE-2012-0446）

Thunderbird が DOM 内のノードを適切に処理していないことが判明しました。ユーザーが騙されて、特別に細工されたページを開いた場合、攻撃者が、これを悪用することにより、アプリケーションのクラッシュでサービス拒否を引き起こしたり、Thunderbird を起動するユーザー権限でコードを実行したりする可能性があります。（CVE-2011-3659）

Alex Dvorov 氏は、Thunderbird がフォーム送信においてサブフレームを適切に処理していないことを発見しました。攻撃者がこれを悪用することで、 HTML5 フレームを使用したフィッシング攻撃を実施できる可能性があります。（CVE-2012-0445）

Ben Hawkes 氏、Christian Holler 氏、Honza Bombas 氏、Jason Orendorff 氏、Jesse Ruderman 氏、Jan Odvarko 氏、Peter Van Der Beken 氏、Bob Clary 氏、Bill McCloskey 氏は、Thunderbird に影響するメモリ安全性の問題を発見しました。ユーザーが騙されて、特別に細工されたページを開いた場合、攻撃者がこれを悪用して、アプリケーションのクラッシュを通じて、サービス拒否を引き起こすことや、 Thunderbird を起動しているユーザーの権限でコードを実行する可能性があります。（CVE-2012-0442、CVE-2012-0443）

XBL バインディングの use-after-free の脆弱性が、Andrew McCreight 氏と Olli Pettay 氏により発見されました。攻撃者が、これを悪用して、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、Thunderbird を起動しているユーザーの権限でコードを実行する可能性があります。
（CVE-2012-0452）

Jueri Aedla 氏は、チャンク展開の際のメモリ割り当てで Thunderbird 内の libpng が使用したサイズが正しく検証されないことを発見しました。ユーザーまたは libpng を使用している自動化システムが騙されて特別に細工されたイメージを開いた場合、攻撃者がこれを悪用することにより、サービス拒否を引き起こしたり、プログラムを起動しているユーザーの権限でコードを実行したりする可能性があります。（CVE-2011-3026）。

Mozilla Firefox はバージョン 10 に更新され、バグとセキュリティ問題が修正されました。

MFSA 2012-01：Mozilla 開発者が、Firefox およびその他の Mozilla ベースの製品で使用されているブラウザエンジンのいくつかのメモリ安全性のバグを特定し、修正しました。これらのバグの一部には、特定の条件下でのメモリ破損の証拠が示されていました。十分な努力をすれば少なくともこれらの一部を悪用して、任意のコードが実行されることがあると、弊社では推測しています。

一般に Thunderbird および SeaMonkey 製品ではスクリプティングが無効になっているため、これらの欠陥はメールを使って悪用できません。ただし、当該製品のブラウザやブラウザ型のコンテキストでは潜在的なリスクがあります。参照

CVE-2012-0443：Ben Hawkes 氏、Christian Holler 氏、Honza Bombas 氏、Jason Orendorff 氏、Jesse Ruderman 氏、Jan Odvarko 氏、Peter Van Der Beken 氏、Bill McCloskey 氏により、Firefox 10 で修正されたメモリ安全性の問題が報告されました。

CVE-2012-0442：Jesse Ruderman 氏および Bob Clary 氏が報告されたメモリ安全性の問題は、Firefox 10 と Firefox 3.6.26 で修正されました。

MFSA 2012-02/CVE-2011-3670：歴史的な理由で Firefox はホスト名を角カッコで囲んだ Web アドレスの解釈に関して寛大です。ホストが有効な IPv6 リテラルアドレスでない場合、 Firefox はホストを正規のドメイン名として解釈しようとしました。Gregory Fleischer の報告によれば、プロキシを介して XMLHttpRequest オブジェクトを使用する IPv6 シンタックスを使って作成されたリクエストによって、 IPv6 のプロキシ構成に応じたエラーが生成されることがあります。プロキシからのその結果のエラーメッセージにより、機密データが漏洩されることがあります。その理由は、同一生成元ポリシー（SOP）により、XMLHttpRequest オブジェクトがこれらのエラーメッセージを読み取ることができ、ユーザーのプライバシーを損なうことができるからです。Firefox が RFC 3986 IPv6 リテラル構文を実施するようになりました。これにより、以前に受け入れられていた非標準の Firefox 独自形式を使用して書き込まれたリンクが、破棄されることがあります。

これは以前に Firefox 7.0、Thunderbird 7.0、SeaMonkey 2.4 で修正されていますが、 2012 年中には Firefox 3.6.26 および Thunderbird 3.1.18 のみで修正されました。

MFSA 2012-03/CVE-2012-0445：Alex Dvorov 氏により、攻撃者は、サブフレームの名前属性をフォーム送信ターゲットとして使用することで、別ドメインのドキュメント内のサブフレームを置換する可能性があることが報告されました。これによりユーザーに対してフィッシング攻撃が引き起こされる可能性があります。また、これは HTML5 フレームナビゲーションポリシーに違反しています。

Firefox 3.6 および Thunderbird 3.1 は、この脆弱性の影響を受けません

MFSA 2012-04/CVE-2011-3659：セキュリティ研究者 Regenrecht 氏は、 TippingPoint Zero Day イニシアチブで、AttributeChildRemoved の早期通知のため、削除された nsDOMAttribute の子ノードが状況によってはアクセス可能になることを報告しました。子ノードのこの use-after-free により、リモートコードを実行できることがあります。

MFSA 2012-05/CVE-2012-0446：Mozilla のセキュリティ研究者である moz_bug_r_a4 により、信頼できないオブジェクトを呼び出すとき、フレームスクリプトが XPConnect セキュリティチェックをバイパスすることが報告されました。これにより、Web ページと Firefox 拡張を通じてクロスサイトスクリプティング（XSS）攻撃を実施できる可能性があります。この修正は、Script Security Manager（SSM）を有効化し、すべてのフレームスクリプトに対してセキュリティチェックを強制します。

Firefox 3.6 および Thunderbird 3.1 は、この脆弱性の影響を受けません

MFSA 2012-06/CVE-2012-0447：Mozilla の開発者 Tim Abraldes 氏により、画像を image/vnd.microsoft.icon としてエンコードすると、実際の画像サイズを超えて、初期化されていないメモリがパディングとして追加され、生じるデータは常に固定サイズになることが報告されました。これは、エンコーダーの mImageBufferSize がソース画像のサイズとは異なる値で初期化された結果でした。初期化されていないメモリからの機密データが、ICO フォーマットの画像から変換されるときに、PNG 画像に追加される可能性があります。この機密データが、結果として生成される画像で漏洩する可能性があります。

Firefox 3.6 および Thunderbird 3.1 は、この脆弱性の影響を受けません

MFSA 2012-07/CVE-2012-0444：セキュリティ研究者 Regenrecht 氏は、 TippingPoint Zero Day イニシアチブで、Ogg Vorbis ファイルを解読する際にメモリが破損する可能性があることを報告しました。これによって解読の際にクラッシュが発生することがあり、リモートコードが実行される可能性があります。

MFSA 2012-08/CVE-2012-0449：セキュリティ研究者 Nicolas Gregoire 氏と Aki Helin 氏は個別に、無効な形式の埋め込まれた XSLT スタイルシートを処理する場合に、メモリ破損のため Firefox がクラッシュする恐れがあると報告しました。直接に悪用できる証拠はないが、リモートコードを実行する可能性があります。

MFSA 2012-09/CVE-2012-0450：magicant starmen により、ユーザーが Firefox Sync キーのエクスポートを選択した場合、「Firefox Recovery Key.html」ファイルが誤った権限で保存され、ファイルコンテンツは Linux および OS X システム上の他のユーザーから読み取り可能になることが報告されました。

Firefox 3.6 は、この脆弱性の影響を受けません。

Versions of Mozilla Thunderbird prior to 10.0 are affected by the following security issues :

 - A use-after-free error exists related to removed nsDOMAttribute child nodes. (CVE-2011-3659)
 - Various memory safety issues exist. (CVE-2012-0442, CVE-2012-0443)
 - Memory corruption errors exist related to the decoding of Ogg Vorbis files and processing of malformed XSLT stylesheets. (CVE-2012-0444, CVE-2012-0449)
 - The HTML5 frame navigation policy can be violated by allowing an attacker to replace a sub-frame in another domain's document. (CVE-2012-0445)
 - Scripts in frames are able to bypass security restrictions in XPConnect. This bypass can allow malicious web sites to carry out cross-site scripting attacks. (CVE-2012-0446)
 - An information disclosure issue exists when uninitialized memory is used as padding when encoding icon images. (CVE-2012-0447)
 - If a user chooses to export their Thunderbird Sync key the 'Thunderbird Recover Key.html' file is saved with incorrect permissions, making the file contents potentially readable by other users. Note that this issue only affects Thunderbird on Linux and Mac OS X systems. (CVE-2012-0450)

The remote host has a web browser installed that is vulnerable to multiple attack vectors.  

Versions of Firefox 3.6.x earlier than 3.6.26 are potentially affected by the following security issues : 

 - A use-after-free error exists related to removed nsDOMAttribute child nodes. (CVE-2011-3659)
 - The IPv6 literal syntax in web addresses is not being properly enforced. (CVE-2011-3670)
 - Various memory safety issues exist. (CVE-2012-0442)
 - Memory corruption errors exist related to the decoding of Ogg Vorbis files and processing of malformed XSLT stylesheets. (CVE-2012-0444, CVE-2012-0449)

Versions of Firefox prior to 10.0 are affected by the following security issues : 

 - A use-after-free error exists related to removed 'nsDOMAttribute' child nodes. (CVE-2011-3659)
 - Various memory safety issues exist. (CVE-2012-0442, CVE-2012-0443)
 - Memory corruption errors exist related to the decoding of Ogg Vorbis files and processing of malformed XSLT stylesheets. (CVE-2012-0444, CVE-2012-0449)
 - The HTML5 frame navigation policy can be violated by allowing an attacker to replace a sub-frame in another domain's document. (CVE-2012-0445)
 - Scripts in frames are able to bypass security restrictions in XPConnect.  This bypass can allow malicious web sites to carry out cross-site scripting attacks. (CVE-2012-0446)
 - An information disclosure issue exists when uninitialized memory is used as padding when encoding icon images. (CVE-2012-0447)
 - If a user chooses to export their Firefox Sync key the 'Firefox Recover Key.html' file is saved with incorrect permissions, making the file contents potentially readable by other users.  Note that this issue only affects Firefox on Linux and Mac OS X systems. (CVE-2012-0450)

Versions of Mozilla Thunderbird 3.1.x prior to 3.1.18 are affected by the following security issues : 

 - A use-after-free error exists related to removed nsDOMAttribute child nodes. (CVE-2011-3659)
 - The IPv6 literal syntax in web addresses is not being properly enforced. (CVE-2011-3670)
 - Various memory safety issues exist. (CVE-2012-0442)
 - Memory corruption errors exist related to the decoding of Ogg Vorbis files and processing of malformed XSLT stylesheets. (CVE-2012-0444, CVE-2012-0449)

The remote host has a web browser installed that is vulnerable to multiple attack vectors.

Versions of SeaMonkey 2.x earlier than 2.7.0 are potentially affected by the following security issues : 

  - A use-after-free error exists related to removed nsDOMAttribute child nodes. (CVE-2011-3659)

  - Various memory safety issues exist. (CVE-2012-0442, CVE-2012-0443)

  - Memory corruption errors exist related to the decoding of Ogg Vorbis files and processing of malformed XSLT stylesheets. (CVE-2012-0444, CVE-2012-0449)

  - The HTML5 frame navigation policy can be violated by allowing an attacker to replace a sub-frame in another domain's document. (CVE-2012-0445)

  - Scripts in frames are able to bypass security restrictions in XPConnect.  This bypass can allow malicious web sites to carry out cross-site scripting attacks. (CVE-2012-0446)

  - An information disclosure issue exists when uninitialized memory is used as padding when encoding icon images. (CVE-2012-0447)

  - If a user chooses to export their SeaMonkey Sync key the 'SeaMonkey Recover Key.html' file is saved with incorrect permissions, making the file contents potentially readable by other users.  Note that this issue only affects SeaMonkey on Linux and Mac OS X systems. (CVE-2012-0450)

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
61231	Scientific Linux セキュリティ更新：SL6.x i386/x86_64 の thunderbird	Nessus	Scientific Linux Local Security Checks	2012/8/1	2021/1/14	high
68443	Oracle Linux 4/5/6：firefox（ELSA-2012-0079）	Nessus	Oracle Linux Local Security Checks	2013/7/12	2024/10/22	critical
76026	openSUSE セキュリティ更新：seamonkey（seamonkey-5768）	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	critical
80788	Oracle Solaris サードパーティのパッチの更新：thunderbird（multiple_vulnerabilities_in_thunderbird6）	Nessus	Solaris Local Security Checks	2015/1/19	2021/1/14	critical
58037	Ubuntu 11.10：thunderbird の脆弱性（USN-1369-1）	Nessus	Ubuntu Local Security Checks	2012/2/20	2019/9/19	critical
75951	openSUSE セキュリティ更新：MozillaFirefox（MozillaFirefox-5750）	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	critical
6308	Mozilla Thunderbird < 10.0 Multiple Vulnerabilities	Nessus Network Monitor	SMTP Clients	2012/2/7	2019/3/6	high
6307	Mozilla Firefox 3.6.x < 3.6.26 Multiple Vulnerabilities	Nessus Network Monitor	Web Clients	2012/2/7	2019/3/6	high
6306	Mozilla Firefox < 10.0 Multiple Vulnerabilities	Nessus Network Monitor	Web Clients	2012/2/7	2019/3/6	high
6309	Mozilla Thunderbird 3.1.x < 3.1.18 Multiple Vulnerabilities	Nessus Network Monitor	SMTP Clients	2012/2/7	2019/3/6	high
6310	SeaMonkey 2.x < 2.7.0 Multiple Vulnerabilities	Nessus Network Monitor	Web Clients	2012/2/7	2019/3/6	high

检测

插件搜索

high

critical

critical

critical

critical

critical

high

high

high

high

high