Описание
Множественные уязвимости Mozilla Thunderbird
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета Mozilla Thunderbird или Установить обновление для пакета(ов) Mozilla Thunderbird
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
22.03.2022
CVE-2022-26387
Идентификатор БДУ ФСТЭК России:
BDU:2022-01454Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с состоянием гонки при проверке подписей во время установки надстройки Firefox. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, заменить базовый файл надстройки, пока пользователь подтверждал приглашение, и установить вредоносную надстройку в системе
5.3 Medium
CVSS3
5.4 Medium
CVSS2
CVE-2022-26386
Идентификатор БДУ ФСТЭК России:
BDU:2022-01459Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с тем, что клиент хранит файлы в папке /tmp, доступной для всех локальных пользователей. Эксплуатация уязвимости может позволить нарушителю, читать файлы из временной папки и получать доступ к потенциально конфиденциальной информации
3.3 Low
CVSS3
2.1 Low
CVSS2
CVE-2022-26383
Идентификатор БДУ ФСТЭК России:
BDU:2022-01446Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с ошибкой при изменении размера всплывающего окна после запроса полноэкранного доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, использовать всплывающее окно, которое не будет отображать полноэкранное уведомление, что позволяет удаленному злоумышленнику выполнить спуфинговую атаку
4.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2022-26384
Идентификатор БДУ ФСТЭК России:
BDU:2022-01448Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с логической ошибкой при обработке iframe. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, и который имеет возможность контролировать содержимое изолированной программной среды iframe , allow-popups, но не allow-scripts, может создать ссылку, щелчок по которой приведет к выполнению JavaScript в нарушение изолированной программной среды
5.4 Medium
CVSS3
6.4 Medium
CVSS2
CVE-2022-26381
Идентификатор БДУ ФСТЭК России:
BDU:2022-01447Описание уязвимости:
Уязвимость почтового клиента Mozilla Thunderbird, связана с ошибкой использования памяти после освобождения при обработке HTML-содержимого. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, активировать использование после освобождения, заставив текст перекомпоноваться в объекте SVG и выполнив произвольный код в системе
8.8 High
CVSS3
10 Critical
CVSS2