当前位置:首页 > 漏洞预警 > 正文

Mozilla Thunderbird多个高危漏洞预警

发布时间:2021-08-13 17:41:35,来源:北京奇虎科技有限公司

      一、 基本情况

8月11日,Mozilla发布安全更新公告,修复了Mozilla Thunderbird的多个安全漏洞,其中漏洞CVE编号:CVE-2021-29986、CVE-2021-29988、CVE-2021-29984、CVE-2021-29980、CVE-2021-29989为高危漏洞。攻击者可利用这些漏洞导致内存破坏、执行任意代码或潜在其他的安全风险。建议受影响用户及时更新至安全版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞等级

高危

      三、 漏洞描述

Mozilla Thunderbird是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。

1. CVE-2021-29986 缓冲区溢出漏洞

该漏洞是由于解析DNS时getaddrinfo中存在竞争条件错误,远程攻击者通过创建特制的网页,并诱使用户打开它,从而触发内存破坏,导致在目标系统上执行任意代码。目前该漏洞只影响Linux操作系统。

2. CVE-2021-29988 越界读取漏洞

该漏洞是由于不正确的把行内list-item元素对待为块元素,造成越界读取或内存破坏。远程攻击者通过创建特制的网页,并诱使用户打开它,触发越界读取错误,导致在目标系统上执行任意代码。

3. CVE-2021-29984 缓冲区溢出漏洞

该漏洞是由于执行JIT优化时存在边界错误,攻击者可利用该漏洞在目标系统上执行任意代码。

4. CVE-2021-29980 内存破坏漏洞

该漏洞是由于Uninitialized memory中未初始化的内存可能导致内存破坏。攻击者可利用该漏洞在目标系统上执行任意代码。

5. CVE-2021-29989 缓冲区溢出漏洞

该漏洞是由于处理HTML内容时存在边界错误,可导致内存破坏。攻击者可利用该漏洞在目标系统上执行任意代码。

      四、 影响范围

Mozilla Thunderbird < 78.13

      五、 安全建议

建议受影响的用户尽快升级到Mozilla Thunderbird 78.13或更高版本。

https://www.thunderbird.net/en-US/thunderbird/all/

      六、 参考链接

https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/