据外媒 12 月 26 日报道,Mozilla 近期为其流行的开源 Thunderbird (”雷鸟 “)电子邮件客户端发布了重要安全更新,解决了其 RSS 和客户端中的缓冲区溢出漏洞、用户信息泄露、假冒邮件地址等问题。
Mozilla 于 12 月份发布了五个漏洞修补程序,以下内容为漏洞的具体信息。
CVE -2017-7845(危急)
运行在 Windows 操作系统上的 Thunderbird 的关键缓冲区溢出漏洞,是五个漏洞中最为严重的一个。Mozilla 公告显示,在使用 Direct 3D 9 和 ANGLE 图形库(用于 WebGL 内容)绘制和验证元素时会发生缓冲区溢出,因为检查期间在库中传递的值不正确导致了潜在可利用的崩溃。不过这一漏洞仅影响 Windows 操作系统,其他系统不受影响。
CVE-2017-7846(高危)
存在于雷鸟 RSS 阅读器中。通过网站查看 RSS Feed 时,例如通过 “View – > Feed article – > Website” 或标准格式的 “View – > Feed article – > default format”查看内容时,可以在解析的 RSS Feed 中执行 JavaScript 代码 。
CVE-2017-7847(高危)
在 RSS Feed 中制作的 CSS 可能会泄露并显示包含用户名的本地路径字符串。
CVE-2017-7848(中等)
RSS 字段可以在创建的电子邮件结构中注入新行,修改消息正文。。
CVE -2017-7829(低)
假冒发件人的电子邮件地址,向电子邮件收件人显示任意的发件人地址。Mozilla 解释若在显示字符串中以空字符开头,那么真正的发件人地址将不会被显示出来。
今年早些时候,Mozilla 表示将更新雷鸟的用户界面,并将其与 Firefox 浏览器更加紧密地结合,逐步取消对 XUL 和 XPCOM api 上构建的传统组件的支持。
消息来源:threatpost,编译:榆榆,校审:FOX;
本文由 HackerNews.cc 编译整理,封面来源于网络。
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
source: hackernews.cc.thanks for it.