发布时间:2021-08-13 17:41:35,来源:北京奇虎科技有限公司
8月11日,Mozilla发布安全更新公告,修复了Mozilla Thunderbird的多个安全漏洞,其中漏洞CVE编号:CVE-2021-29986、CVE-2021-29988、CVE-2021-29984、CVE-2021-29980、CVE-2021-29989为高危漏洞。攻击者可利用这些漏洞导致内存破坏、执行任意代码或潜在其他的安全风险。建议受影响用户及时更新至安全版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
高危
Mozilla Thunderbird是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。
1. CVE-2021-29986 缓冲区溢出漏洞
该漏洞是由于解析DNS时getaddrinfo中存在竞争条件错误,远程攻击者通过创建特制的网页,并诱使用户打开它,从而触发内存破坏,导致在目标系统上执行任意代码。目前该漏洞只影响Linux操作系统。
2. CVE-2021-29988 越界读取漏洞
该漏洞是由于不正确的把行内list-item元素对待为块元素,造成越界读取或内存破坏。远程攻击者通过创建特制的网页,并诱使用户打开它,触发越界读取错误,导致在目标系统上执行任意代码。
3. CVE-2021-29984 缓冲区溢出漏洞
该漏洞是由于执行JIT优化时存在边界错误,攻击者可利用该漏洞在目标系统上执行任意代码。
4. CVE-2021-29980 内存破坏漏洞
该漏洞是由于Uninitialized memory中未初始化的内存可能导致内存破坏。攻击者可利用该漏洞在目标系统上执行任意代码。
5. CVE-2021-29989 缓冲区溢出漏洞
该漏洞是由于处理HTML内容时存在边界错误,可导致内存破坏。攻击者可利用该漏洞在目标系统上执行任意代码。
Mozilla Thunderbird < 78.13
建议受影响的用户尽快升级到Mozilla Thunderbird 78.13或更高版本。
https://www.thunderbird.net/en-US/thunderbird/all/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/