Уязвимости Mozilla Thunderbird: CVE, БДУ ФСТЭК и мониторинг
Уязвимости Mozilla Thunderbird из реестра БДУ ФСТЭК: 953 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.
Уязвимости Mozilla Thunderbird из БДУ ФСТЭК
Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 953.
BDU:2023-05510Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с чтением за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код
BDU:2021-05334Уязвимость реализации языка разметки SVG браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю выполнить произвольный код
BDU:2019-02947Уязвимость браузеров Firefox ESR, Firefox и почтового клиента Thunderbird, существующая из-за недостаточной проверки параметров в сообщениях Prompt:Open IPC между дочерним и родительским процессами, п
BDU:2019-03613Уязвимость метода Array.pop почтового клиента Thunderbird и браузеров Firefox и Firefox ESR, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2014-00311Уязвимость почтового клиента Thunderbird, позволяющая злоумышленнику выполнить произвольный код
BDU:2020-04519Уязвимость метода reduceRight почтового клиента Thunderbird, браузера Firefox, пакета программ SeaMonkey, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
BDU:2024-04733Уязвимость библиотеки PDF.js связанная с доступом к ресурсу через несовместимые типы, позволяющая нарушителю выполнить произвольный JavaScript-код
BDU:2015-09890Уязвимость почтового клиента Thunderbird, позволяющая удалённому злоумышленнику выполнить произвольный JavaScript-код
BDU:2014-00249Уязвимость почтового клиента Thunderbird, позволяющая злоумышленнику выполнить произвольный код или вызвать отказ в обслуживании
BDU:2016-00758Уязвимость почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код
Почему важно отслеживать уязвимости Mozilla Thunderbird
Mozilla Thunderbird — свободный почтовый клиент от Mozilla Foundation, который в России массово внедряют при миграции с Microsoft Outlook и Exchange. Как и Firefox, Thunderbird обрабатывает сложный HTML, скрипты и вложения, поэтому уязвим к типовым для браузерного движка ошибкам: использование памяти после освобождения (CWE-416), некорректная обработка вложений и HTML-писем, а также спуфинг адреса отправителя. Основной вектор атаки — вредоносное письмо или вложение, открытие которого ведёт к выполнению кода. Патчи Mozilla выпускает синхронно с циклом Firefox ESR. По приказу ФСТЭК №117 уязвимость с CVSS 9.0+ устраняется за 24 часа, 7.0–8.9 — за 7 дней; для ГИС и ИСПДн действуют приказы №17 и №21. Платформа SGRC КиберОснова сопоставляет реестр ИТ-активов с БДУ ФСТЭК и ставит задачу на устранение с дедлайном.
Сроки устранения по приказу ФСТЭК №117
Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).
CVSS 9.0–10.0
24 часа
CVSS 7.0–8.9
7 дней
CVSS 4.0–6.9
30 дней
CVSS 0.1–3.9
Плановое
Полезные ресурсы
Автоматизируйте мониторинг уязвимостей Mozilla Thunderbird
SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.