Описание
Уязвимости Thunderbird
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета Mozilla Thunderbird или Установить обновление для пакета(ов) Mozilla Thunderbird
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
14.01.2022
CVE-2022-22746
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с неверным ограничением визуализируемых слоев или фреймов пользовательского интерфейса из-за состояния гонки при вызове reportValidity. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти полноэкранное уведомление и провести спуфинговую атаку
4.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2022-22743
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с неверным ограничением визуализируемых слоев или фреймов пользовательского интерфейса из-за ошибки при навигации внутри iframe при запросе полноэкранного доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, лишить браузер возможности выйти из полноэкранного режима и провести спуфинговую атаку
6.5 Medium
CVSS3
7.8 High
CVSS2
CVE-2022-22742
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с записью за пределами границ при вставке текста в режиме редактирования. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, инициировать несанкционированную запись и выполнение произвольного кода в целевой системе
7.5 High
CVSS3
7.6 High
CVSS2
CVE-2022-22741
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с неверным ограничением визуализируемых слоев или фреймов пользовательского интерфейса из-за ошибки изменения размера всплывающего окна при запросе полноэкранного доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, лишить браузер возможности выйти из полноэкранного режима и провести спуфинговую атаку
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2022-22740
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с использованием памяти после ее освобождения в ChannelEventQueue::mOwner при освобождении дескриптора сетевого запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать ошибку использования после освобождения и выполнить произвольный код в системе
8.8 High
CVSS3
10 Critical
CVSS2
CVE-2022-22738
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с переполнением буфера в динамической памяти в blendGaussianBlur при применении фильтра CSS. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать переполнение буфера кучи и выполнить произвольный код в целевой системе
8.8 High
CVSS3
10 Critical
CVSS2
CVE-2022-22737
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с использованием памяти после ее освобождения из-за состояния гонки при воспроизведении аудиофайлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создать специально созданную звуковую оболочку, вызвать ошибку использования после освобождения и выполнить произвольный код в системе
8.8 High
CVSS3
10 Critical
CVSS2
CVE-2021-4140
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с обходом ограничений безопасности при реализации песочницы iframe при обработке XSLT-разметки. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти песочницу iframe и выполнить произвольный код JavaScript в контексте произвольного окна
8.8 High
CVSS3
10 Critical
CVSS2
CVE-2022-22748
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с некорректной обработкой пользовательских данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, ввести в заблуждение, показывая неверное происхождение при запросе на запуск программы и обработке внешнего протокола URL
5.4 Medium
CVSS3
6.4 Medium
CVSS2
CVE-2022-22745
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с тем, что события Securitypolicyviolation приводят к утечке информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к потенциально конфиденциальной информации
4.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2022-22744
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с выполнением произвольных команд в целевой системе из-за неправильной проверки ввода в функции DevTools. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды в системе, если скопированные данные вставлены в командную строку Powershell
6.8 Medium
CVSS3
7.1 High
CVSS2
CVE-2022-22747
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с неправильной проверкой ввода пустой последовательности pkcs7, передаваемой как часть данных сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать приложению специально созданный сертификат и выполнить атаку типа «отказ в обслуживании» (DoS)
4.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2022-22739
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с обходом введенных ограничений безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обманом заставить пользователей принять запуск программы для обработки внешнего протокола URL
4.3 Medium
CVSS3
5 Medium
CVSS2