安全更新 Mozilla修復了 Thunderbird 雷鳥 5個安全漏洞

導語：近日，Mozilla最新發布了一項重要的安全更新，用於修復其流行的開源電子郵件客戶端「雷鳥」（Thunderbird）52.5.2版本中存在的5個安全漏洞。

Mozilla Thunderbird是由Mozilla瀏覽器的郵件功能部件所改造的郵件工具，使用 XUL 程序介面語言所設計，是專門為搭配 Mozilla Firefox 瀏覽器使用者所設計的郵件客戶端軟體。

近日，Mozilla最新發布了一項重要的安全更新，用於修復其流行的開源電子郵件客戶端「雷鳥」（Thunderbird）52.5.2版本中存在的5個安全漏洞，其中包含一個「關鍵」級別漏洞、兩個「高危」級別漏洞，一個「中危」級別漏洞以及一個「低危」級別漏洞。

漏洞信息

Thunderbird 52.5.2版本中最嚴重的漏洞是在Windows操作系統上運行的Thunderbird關鍵緩衝區溢出漏洞（CVE-2017-7845）。

根據Mozilla發布的安全通告顯示，

在使用 Direct 3D 9 和 ANGLE 圖形庫（用於 WebGL 內容）繪製和驗證元素時，就會出現緩衝區溢出現象。這是由於檢查過程中在庫中傳遞的值不正確，並最終導致了潛在可利用的崩潰。值得注意的是，這一漏洞隻影響 Windows 操作系統，其他的操作系統並不會受此漏洞影響。

兩個「高危」級別的漏洞分別為CVE-2017-7846和CVE-2017-7847。其中第一個漏洞（CVE-2017-7846）主要影響Thunderbird的RSS 閱讀器。根據安全通告所述，

當RSS Feed被視為一個網站時，例如通過「View （查看）– > Feed article （Feed文章）– > Website（網站）」或標準格式的「View （查看）– > Feed article （Feed文章）– > default format（默認格式）」查看內容時，可以在解析的RSS Feed 中執行JavaScript代碼。

另外一個「高危」漏洞（CVE-2017-7847）同樣也會影響RSS閱讀器。根據安全通告所述，

在RSS Feed中製作的CSS可能會泄露並顯示包含用戶名的本地路徑字元串。

一個「中危」漏洞被標記為CVE-2017-7848，該漏洞同樣也會影響RSS feed。安全通告表示，

RSS欄位可以在創建的電子郵件結構中注入新行，修改消息的正文。

最後一個漏洞CVE -2017-7829屬於「低危」級別，它會影響電子郵件。根據Mozilla的安全通告所述，

攻擊者可以利用該漏洞假冒發件人的電子郵件地址，並向電子郵件收件人顯示任意的發件人地址。如果在顯示字元串中以空字元開頭，那麼真正的發件人地址將不會顯示出來。

其實，Mozilla已經很早就停止了對Thunderbird的開發，但是仍然沒有放棄為其修復問題，只是不會再有新的功能加入，對於此次安全更新，安全專家建議用戶還需儘快前往Mozilla官網查詢並修復漏洞，避免為攻擊者留下可乘之機。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！