КиберосноваSGRC

Уязвимости Mozilla Thunderbird: CVE, БДУ ФСТЭК и мониторинг

Уязвимости Mozilla Thunderbird из реестра БДУ ФСТЭК: 953 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

953уязвимостей в БДУ
Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости Mozilla Thunderbird из БДУ ФСТЭК

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 953.

BDU:2023-05510
Критический
8.8
KEV
EPSS 100%7дн

Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с чтением за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код

2023CVE-2023-4863
BDU:2021-05334
Высокий
7.5
KEV
EPSS 88%7дн

Уязвимость реализации языка разметки SVG браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю выполнить произвольный код

2021CVE-2016-9079
BDU:2019-02947
Критический
10.0
KEV
EPSS 56%24ч

Уязвимость браузеров Firefox ESR, Firefox и почтового клиента Thunderbird, существующая из-за недостаточной проверки параметров в сообщениях Prompt:Open IPC между дочерним и родительским процессами, п

2019CVE-2019-11708
BDU:2019-03613
Критический
8.8
KEV
EPSS 38%7дн

Уязвимость метода Array.pop почтового клиента Thunderbird и браузеров Firefox и Firefox ESR, позволяющая нарушителю вызвать отказ в обслуживании

2019CVE-2019-11707
BDU:2014-00311
Высокий
EPSS 82%

Уязвимость почтового клиента Thunderbird, позволяющая злоумышленнику выполнить произвольный код

2016CVE-2014-1510
BDU:2020-04519
Критический
9.8EPSS 76%24ч

Уязвимость метода reduceRight почтового клиента Thunderbird, браузера Firefox, пакета программ SeaMonkey, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

2020CVE-2011-2371
BDU:2024-04733
Высокий
7.5EPSS 73%7дн

Уязвимость библиотеки PDF.js связанная с доступом к ресурсу через несовместимые типы, позволяющая нарушителю выполнить произвольный JavaScript-код

2024CVE-2024-4367
BDU:2015-09890
Средний
EPSS 67%

Уязвимость почтового клиента Thunderbird, позволяющая удалённому злоумышленнику выполнить произвольный JavaScript-код

2016CVE-2015-0816
BDU:2014-00249
Высокий
EPSS 31%

Уязвимость почтового клиента Thunderbird, позволяющая злоумышленнику выполнить произвольный код или вызвать отказ в обслуживании

2016CVE-2014-1512
BDU:2016-00758
Средний
EPSS 31%

Уязвимость почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

2016CVE-2016-1960

Почему важно отслеживать уязвимости Mozilla Thunderbird

Mozilla Thunderbird — свободный почтовый клиент от Mozilla Foundation, который в России массово внедряют при миграции с Microsoft Outlook и Exchange. Как и Firefox, Thunderbird обрабатывает сложный HTML, скрипты и вложения, поэтому уязвим к типовым для браузерного движка ошибкам: использование памяти после освобождения (CWE-416), некорректная обработка вложений и HTML-писем, а также спуфинг адреса отправителя. Основной вектор атаки — вредоносное письмо или вложение, открытие которого ведёт к выполнению кода. Патчи Mozilla выпускает синхронно с циклом Firefox ESR. По приказу ФСТЭК №117 уязвимость с CVSS 9.0+ устраняется за 24 часа, 7.0–8.9 — за 7 дней; для ГИС и ИСПДн действуют приказы №17 и №21. Платформа SGRC КиберОснова сопоставляет реестр ИТ-активов с БДУ ФСТЭК и ставит задачу на устранение с дедлайном.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

FAQ

Вопросы об уязвимостях Mozilla Thunderbird

Не нашли ответ? Напишите нам

Автоматизируйте мониторинг уязвимостей Mozilla Thunderbird

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.

Уязвимости Mozilla Thunderbird — CVE и БДУ ФСТЭК | КиберОснова