“雷鸟”安全飞行：Mozilla 修复 Thunderbird 高危漏洞

据外媒 12 月 26 日报道，Mozilla 近期为其流行的开源  Thunderbird （”雷鸟 “）电子邮件客户端发布了重要安全更新，解决了其 RSS 和客户端中的缓冲区溢出漏洞、用户信息泄露、假冒邮件地址等问题。

  Mozilla 于 12 月份发布了五个漏洞修补程序，以下内容为漏洞的具体信息。

  CVE -2017-7845（危急）

  运行在 Windows 操作系统上的 Thunderbird 的关键缓冲区溢出漏洞，是五个漏洞中最为严重的一个。Mozilla 公告显示，在使用 Direct 3D 9 和 ANGLE 图形库（用于 WebGL 内容）绘制和验证元素时会发生缓冲区溢出，因为检查期间在库中传递的值不正确导致了潜在可利用的崩溃。不过这一漏洞仅影响 Windows 操作系统，其他系统不受影响。

  CVE-2017-7846（高危）存在于雷鸟 RSS 阅读器中。通过网站查看 RSS Feed 时，例如通过 “View – > Feed article – > Website” 或标准格式的 “View – > Feed article – > default format”查看内容时，可以在解析的 RSS Feed 中执行 JavaScript 代码 。

  CVE-2017-7847（高危）

  在 RSS Feed 中制作的 CSS 可能会泄露并显示包含用户名的本地路径字符串。

  CVE-2017-7848（中等）

  RSS 字段可以在创建的电子邮件结构中注入新行，修改消息正文。

  CVE -2017-7829（低）

  假冒发件人的电子邮件地址，向电子邮件收件人显示任意的发件人地址。Mozilla 解释若在显示字符串中以空字符开头，那么真正的发件人地址将不会被显示出来。

  今年早些时候，Mozilla 表示将更新雷鸟的用户界面，并将其与 Firefox 浏览器更加紧密地结合，逐步取消对 XUL 和 XPCOM api 上构建的传统组件的支持。