导语:近日,Mozilla最新发布了一项重要的安全更新,用于修复其流行的开源电子邮件客户端“雷鸟”(Thunderbird)52.5.2版本中存在的5个安全漏洞。

Mozilla-Thunderbird.jpg

Mozilla Thunderbird是由Mozilla浏览器的邮件功能部件所改造的邮件工具,使用 XUL 程序介面语言所设计,是专门为搭配 Mozilla Firefox 浏览器使用者所设计的邮件客户端软件。

近日,Mozilla最新发布了一项重要的安全更新,用于修复其流行的开源电子邮件客户端“雷鸟”(Thunderbird)52.5.2版本中存在的5个安全漏洞,其中包含一个“关键”级别漏洞、两个“高危”级别漏洞,一个“中危”级别漏洞以及一个“低危”级别漏洞。

漏洞信息

屏幕快照 2017-12-28 下午3.33.39.png

Thunderbird 52.5.2版本中最严重的漏洞是在Windows操作系统上运行的Thunderbird关键缓冲区溢出漏洞(CVE-2017-7845)。

根据Mozilla发布的安全通告显示,

在使用 Direct 3D 9 和 ANGLE 图形库(用于 WebGL 内容)绘制和验证元素时,就会出现缓冲区溢出现象。这是由于检查过程中在库中传递的值不正确,并最终导致了潜在可利用的崩溃。值得注意的是,这一漏洞只影响 Windows 操作系统,其他的操作系统并不会受此漏洞影响。

两个“高危”级别的漏洞分别为CVE-2017-7846和CVE-2017-7847。其中第一个漏洞(CVE-2017-7846)主要影响Thunderbird的RSS 阅读器。根据安全通告所述,

当RSS Feed被视为一个网站时,例如通过“View (查看)– > Feed article (Feed文章)– > Website(网站)”或标准格式的“View (查看)– > Feed article (Feed文章)– > default format(默认格式)”查看内容时,可以在解析的RSS Feed 中执行JavaScript代码。

另外一个“高危”漏洞(CVE-2017-7847)同样也会影响RSS阅读器。根据安全通告所述,

在RSS Feed中制作的CSS可能会泄露并显示包含用户名的本地路径字符串。

一个“中危”漏洞被标记为CVE-2017-7848,该漏洞同样也会影响RSS feed。安全通告表示,

RSS字段可以在创建的电子邮件结构中注入新行,修改消息的正文。

最后一个漏洞CVE -2017-7829属于“低危”级别,它会影响电子邮件。根据Mozilla的安全通告所述,

攻击者可以利用该漏洞假冒发件人的电子邮件地址,并向电子邮件收件人显示任意的发件人地址。如果在显示字符串中以空字符开头,那么真正的发件人地址将不会显示出来。

其实,Mozilla已经很早就停止了对Thunderbird的开发,但是仍然没有放弃为其修复问题,只是不会再有新的功能加入,对于此次安全更新,安全专家建议用户还需尽快前往Mozilla官网查询并修复漏洞,避免为攻击者留下可乘之机。

源链接

Hacking more

...