%e9%9b%b7%e9%b8%9f

“雷鸟”安全飞行:Mozilla 修复 Thunderbird 高危漏洞

  • 浏览次数 6747
  • 喜欢 0
  • 评分 12345

据外媒 12 月 26 日报道,Mozilla 近期为其流行的开源  Thunderbird (”雷鸟 “)电子邮件客户端发布了重要安全更新,解决了其 RSS 和客户端中的缓冲区溢出漏洞、用户信息泄露、假冒邮件地址等问题。

Mozilla 于 12 月份发布了五个漏洞修补程序,以下内容为漏洞的具体信息

CVE -2017-7845(危急

运行在 Windows 操作系统上的 Thunderbird 的关键缓冲区溢出漏洞,是五个漏洞中最为严重的一个。Mozilla 公告显示,在使用 Direct 3D 9 和 ANGLE 图形库(用于 WebGL 内容)绘制和验证元素时会发生缓冲区溢出,因为检查期间在库中传递的值不正确导致了潜在可利用的崩溃。不过这一漏洞仅影响 Windows 操作系统,其他系统不受影响。

CVE-2017-7846(高危)

存在于雷鸟 RSS 阅读器中。通过网站查看 RSS Feed 时,例如通过 “View – > Feed article – > Website” 或标准格式的 “View – > Feed article – > default format”查看内容时,可以在解析的 RSS Feed 中执行 JavaScript 代码 。

CVE-2017-7847(高危)

在 RSS Feed 中制作的 CSS 可能会泄露并显示包含用户名的本地路径字符串。

CVE-2017-7848(中等)

RSS 字段可以在创建的电子邮件结构中注入新行,修改消息正文。。

CVE -2017-7829(低)

假冒发件人的电子邮件地址,向电子邮件收件人显示任意的发件人地址。Mozilla 解释若在显示字符串中以空字符开头,那么真正的发件人地址将不会被显示出来。

今年早些时候,Mozilla 表示将更新雷鸟的用户界面,并将其与 Firefox 浏览器更加紧密地结合,逐步取消对 XUL 和 XPCOM api 上构建的传统组件的支持。

消息来源:threatpost,编译:榆榆,校审:FOX;

本文由 HackerNews.cc 编译整理,封面来源于网络。

转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

hackernews_foot