English

◀◁ 뒤로 취약점ID 28919 위험도 40 포트 139,445 프로토콜 TCP 분류 SMB 상세설명 원격 Windows 호스트에 설치된 Thunderbird 버전은 60.8 이전입니다. 따라서 mfsa2019-23 권고에서 언급 된 여러 취약점의 영향을받습니다. - 성공한 Pwn2Own 항목의 일환으로 Niklas Baumstark는 악의적 인 언어 팩을 설치 한 다음 손상된 번역을 사용하는 브라우저 기능을 열어 샌드 박스 이스케이프를 시연했습니다. (CVE-2019-9811) - 내부 윈도우가 재사용 될 때 원점 간 보호를 위해 document.domain의 사용을 고려하지 않습니다. 다른 하위 도메인의 페이지가 document.domain을 사용하는 경우이 두 페이지는 원본 보안을 완화하기 위해 document.domain을 사용하지 않은 하위 도메인을 포함하여 다른 하위 도메인의 임의 페이지에 스크립트를 삽입 할 수 있습니다. (CVE-2019-11711) - 플래시와 같이 상태 308 리디렉션 응답을 수신하는 NPAPI 플러그인에 의한 POST 요청은 CORS 요구 사항을 우회 할 수 있습니다. 이로 인해 공격자가 CSRF (Cross-Site Request Forgery) 공격을 수행 할 수 있습니다. (CVE-2019-11712) - 캐시 된 HTTP / 2 스트림이 아직 사용 중일 때 닫힐 때 HTTP / 2에서 사용 후 취약점이 발생할 수 있으므로 잠재적으로 악용 될 수있는 크래시가 발생합니다. (CVE-2019-11713) - 비어 있거나 잘못된 형식의 p256-ECDH 공개 키가 값을 메모리에 복사하여 사용하기 전에 부적절하게 위생 처리하여 세그먼트 화 오류를 유발할 수 있습니다. (CVE-2019-11729) - 페이지 내용을 파싱하는 동안 오류로 인해 특정 상황에서 적절하게 소독 된 사용자 입력을 잘못 해석하여 웹 사이트에서 XSS 위험을 초래할 수 있습니다. (CVE-2019-11715) - 캐럿 (^) 문자가 분리 기호로 사용되기 때문에 일부 URI를 잘못 작성하여 이스케이프 처리하여 발신 속성을 속일 수있는 취약점이 존재합니다. (CVE-2019-11717) * 참고 사이트: https://www.mozilla.org/en-US/security/advisories/mfsa2019-23/ * 영향을 받는 플랫폼: Mozilla Project, Thunderbird 60.8 이전의 버전들 Microsoft Windows Any version Linux Any version 해결책 Upgrade to the latest version of Thunderbird (60.8 or later), available from the Mozilla Web site at http://www.mozilla.com/thunderbird/ 관련 URL CVE-2019-9811,CVE-2019-11709,CVE-2019-11711,CVE-2019-11712,CVE-2019-11713,CVE-2019-11715,CVE-2019-11717,CVE-2019-11719,CVE-2019-11729 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)