当前位置:安全资讯 >> 全文

Mozilla修复开源邮件客户端Thunderbird 中的严重漏洞

发布时间:2017-12-27 16:09 标签: Thunderbird漏洞,开源
分享到 0

Mozilla 公司为热门的开源邮件客户端Thunderbird公布了安全更新。补丁是12月份所发布的5个修复方案之一,其中两个漏洞的严重程度被评为“高”、一个为“中”以及另外一个为“低”。

Thunderbird 同时也是新闻、RSS和聊天客户端,Mozilla 公司表示上周发布的最新版本 Thunderbird 52.5.2 修复了上述漏洞。

其中最严重的漏洞是缓冲溢出漏洞 (CVE-2017-7845),影响运行在 Windows 操作系统上的 Thunderbird客户端。Mozilla 在安全公告中指出,“当通过配有 ANGLE 图形库的 Direct 3D 9 绘出并验证元素时就会触发缓冲溢出漏洞。原因是在检查时库中通过了一个不正确的值,导致可能存在的可利用崩溃情况。”

Mozilla 127日的火狐浏览器版本 57.0.2中也修复了这个漏洞问题。

两个严重程度为“高”的问题是CVE-2017-7846CVE-2017-7847。前一个是存在于Thunderbird RSS 阅读器中的一个缺陷,“当RSS推送被视作一个网站时有可能在解析的RSS推送中执行 JavaScript,例如通过‘View -> Feed article -> Website 或者以标准的View -> Feed article -> default format格式执行。”

Mozilla公司表示,至于第二个严重程度为“高”的漏洞,“在RSS推送中构造一个CSS就能泄露可能包含用户姓名的本地路径字符串”。

中危漏洞 (CVE-2017-7848) 和低危漏洞 (CVE-2017-7829)分别是一个RSS漏洞和影响邮件的漏洞。Mozilla公司指出,低危漏洞可能导致“发件人的邮箱地址可能遭欺骗,而且会向邮件收件人显示任意的发件人地址。如果以显示字符串中的null字符开头,那么就不会显示真正的发件人地址。”

Mozilla 公司在今年年初表示将会更新Thunderbird的用户界面、代码,不再支持基于XULXPCOM API 构建的遗留附件,以便跟火狐的联系更为紧密。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://threatpost.com/mozilla-patches-critical-bug-in-thunderbird/129244/
参与讨论,请先 登录 | 注册

用户评论