Mozilla修复开源邮件客户端 Thunderbird 中的严重漏洞
翻译:360代码卫士团队
Mozilla 公司为热门的开源邮件客户端Thunderbird公布了安全更新。补丁是12月份所发布的5个修复方案之一,其中两个漏洞的严重程度被评为“高”、一个为“中”以及另外一个为“低”。
Thunderbird 同时也是新闻、RSS和聊天客户端,Mozilla 公司表示上周发布的最新版本 Thunderbird 52.5.2 修复了上述漏洞。
其中最严重的漏洞是缓冲溢出漏洞 (CVE-2017-7845),影响运行在 Windows 操作系统上的 Thunderbird客户端。Mozilla 在安全公告中指出,“当通过配有 ANGLE 图形库的 Direct 3D 9 绘出并验证元素时就会触发缓冲溢出漏洞。原因是在检查时库中通过了一个不正确的值,导致可能存在的可利用崩溃情况。”
Mozilla 在12月7日的火狐浏览器版本 57.0.2中也修复了这个漏洞问题。
两个严重程度为“高”的问题是CVE-2017-7846和CVE-2017-7847。前一个是存在于Thunderbird RSS 阅读器中的一个缺陷,“当RSS推送被视作一个网站时有可能在解析的RSS推送中执行 JavaScript,例如通过‘View -> Feed article -> Website’ 或者以标准的‘View -> Feed article -> default format’格式执行。”
Mozilla公司表示,至于第二个严重程度为“高”的漏洞,“在RSS推送中构造一个CSS就能泄露可能包含用户姓名的本地路径字符串”。
中危漏洞 (CVE-2017-7848) 和低危漏洞 (CVE-2017-7829)分别是一个RSS漏洞和影响邮件的漏洞。Mozilla公司指出,低危漏洞可能导致“发件人的邮箱地址可能遭欺骗,而且会向邮件收件人显示任意的发件人地址。如果以显示字符串中的null字符开头,那么就不会显示真正的发件人地址。”
Mozilla 公司在今年年初表示将会更新Thunderbird的用户界面、代码,不再支持基于XUL和XPCOM API 构建的遗留附件,以便跟火狐的联系更为紧密。
关联阅读
Mozilla漏洞数据库被黑 被盗数据攻击Firefox浏览器
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://threatpost.com/mozilla-patches-critical-bug-in-thunderbird/129244/