Mozilla vá lỗ hổng thực thi mã trong Thunderbird Email Client

18-6-2019 General Security News Security Daily 186

Mozilla mới đây đã phát hành phiên bản cập nhật bảo mật mới chứa bản vá cho các lỗ hổng trong địa chỉ Thunderbird email client mà khi khai thác có thể cho phép các hacker thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.



Phiên bản Thunderbird 60.7.1 mới nhất bao gồm bản vá cho 4 lỗ
hổng bảo mật mới được phát hiện trong chương trình quản lý mail của Mozilla. Ba
trong số này được xếp hạng mức độ “nghiêm trọng cao” và một lỗ hổng có mức độ rủi
ro thấp.



Trung tâm phân tích và chia sẻ thông tin (MS-ISAC), một bộ
phận của Trung tâm bảo mật Internet cho biết các lỗ hổng “nghiêm trọng cao” trong
Thunderbird khi được khai thác có thể cho phép các hacker thực thi mã tùy ý
trên thiết bị chứa lỗ hổng.



Tùy thuộc vào các đặc quyền liên quan đến người dùng, hacker
sau đó có thể cài đặt các chương trình; xem, thay đổi hoặc xóa dữ liệu; hay thậm
chí tạo tài khoản mới với các quyền người dùng đầy đủ.



Bởi vậy, các cuộc tấn công nhắm vào các tài khoản sở hữu ít
quyền trên hệ thống sẽ ít nghiêm trọng hơn so với các sự cố trong đó tài khoản
của người dùng bị xâm phạm có quyền quản trị. 
C



Các lỗ hổng được vá trong bản cập nhật Thunderbird mới



Các lỗi mức độ “nghiêm trọng cao” được xử lý trong ứng dụng
email Thunderbird trong tháng này bao gồm CVE-2019-11703 (tràn bộ đệm heap
trong icalparser.c), CVE-2019-11704 (tràn bộ đệm heap trong icalvalue.c) và
CVE-2019-11705 (tràn bộ đệm trong icalrecur.c).



 Lỗ hổng “mức độ rủi
ro thấp” là CVE-2019-11706, một loại nhầm lẫn (confusion) trong icalproperty.c.



Luis Merino của X41 D-Sec là người đã phát hiện và báo cáo tất
cả các lỗi bảo mật ảnh hưởng đến việc triển khai iCal này của Thunderbird, dẫn
đến sự cố khi xử lý một số email. Tuy nhiên, trong số 4 lỗ hổng được đề cập tới
thì chỉ có 3 lỗ hổng đầu tiên được cho là có khả năng bị khai thác trên thực tế.




Thông thường, việc khai thác các lỗ hổng này qua email trong
Thunderbird là không thể thực hiện được do script bị vô hiệu hóa khi đọc thư
(mail). Tuy nhiên, chúng có thể gây rủi ro trong bối cảnh sử dụng trình duyệt
hoặc các cửa sổ tương tự trình duyệt.



Tất cả các phiên bản Thunderbird trước 60.7.1 đều chứa các lỗ
hổng này, tuy nhiên hiện vẫn chưa có báo cáo nào về việc các lỗ hổng này bị
khai thác trong thực tế.



Tư vấn của MS-ISAC cũng cho biết các lỗ hổng bảo mật này có nguy cơ cao đối với các thực thể chính phủ và doanh nghiệp vừa và lớn, trong khi các thực thể chính phủ và doanh nghiệp nhỏ thì mức độ rủi ro phải đối mặt sẽ thấp hơn.



SW
The post Mozilla vá lỗ hổng thực thi mã trong Thunderbird Email Client appeared first on SecurityDaily .
Read The Rest

Related News

All Rights Reserved VTC Security News
Infomation Security Team