“雷鸟”安全飞行:Mozilla 修复 Thunderbird 高危漏洞

据外媒 12 月 26 日报道,Mozilla 近期为其流行的开源  Thunderbird (”雷鸟 “)电子邮件客户端发布了重要安全更新,解决了其 RSS 和客户端中的缓冲区溢出漏洞、用户信息泄露、假冒邮件地址等问题。

  Mozilla 于 12 月份发布了五个漏洞修补程序,以下内容为漏洞的具体信息。

  CVE -2017-7845(危急)

  运行在 Windows 操作系统上的 Thunderbird 的关键缓冲区溢出漏洞,是五个漏洞中最为严重的一个。Mozilla 公告显示,在使用 Direct 3D 9 和 ANGLE 图形库(用于 WebGL 内容)绘制和验证元素时会发生缓冲区溢出,因为检查期间在库中传递的值不正确导致了潜在可利用的崩溃。不过这一漏洞仅影响 Windows 操作系统,其他系统不受影响。

  CVE-2017-7846(高危)存在于雷鸟 RSS 阅读器中。通过网站查看 RSS Feed 时,例如通过 “View – > Feed article – > Website” 或标准格式的 “View – > Feed article – > default format”查看内容时,可以在解析的 RSS Feed 中执行 JavaScript 代码 。

  CVE-2017-7847(高危)

  在 RSS Feed 中制作的 CSS 可能会泄露并显示包含用户名的本地路径字符串。

  CVE-2017-7848(中等)

  RSS 字段可以在创建的电子邮件结构中注入新行,修改消息正文。

  CVE -2017-7829(低)

  假冒发件人的电子邮件地址,向电子邮件收件人显示任意的发件人地址。Mozilla 解释若在显示字符串中以空字符开头,那么真正的发件人地址将不会被显示出来。

  今年早些时候,Mozilla 表示将更新雷鸟的用户界面,并将其与 Firefox 浏览器更加紧密地结合,逐步取消对 XUL 和 XPCOM api 上构建的传统组件的支持。

立即加入让云安全“看得清、防得住、追得到”
立即使用
马上咨询