Mozilla最近在新发布的Thunderbird 60.3电子邮件客户端中修复了多个安全漏洞,其中包括一个紧急(Critical)漏洞。据称,该漏洞也影响到Mozilla的Firefox和Firefox ESR浏览器。

一个紧急漏洞影响多款Mozilla产品

在上周,Mozilla为其最新产品Thunderbird 60.3修补了多个安全漏洞,其中包括一个紧急漏洞。该漏洞不仅影响了Thunderbird电子邮件客户端,而且还影响了Firefox 62和Firefox ESR 60.2浏览器。

正如Mozilla在其安全咨询中所描述的那样,这个被标识为CVE-2018-12390的内存安全漏洞是由Mozilla的多名社区成员和开发人员联合发现并报告的。

Mozilla说:“其中一些bug展现出了内存损坏的迹象。我们认为,只要付出足够的努力,这些bug就可以被用来执行任意代码。”

目前,Mozilla已经在Firefox 63、Firefox ESR 60.3和Thunderbird 60.3中修复了该漏洞。

在Thunderbird 60.3中修复的其他漏洞

除了上述这个紧急漏洞之外,Mozilla还发布了针对其他几个影响到Thunderbird的漏洞的修复程序。其中包括三个高危(High)漏洞,以及一个被标识为CVE-2018-12389的低危(Low)漏洞。

三个高危漏洞的具体描述如下:

  • CVE-2018-12391:HTTP Live Stream(HLS)音频数据可访问跨域(仅适用于Android版本的Firefox)。该漏洞可能允许***者在Android版本Firefox浏览器上的HTTP实时流播放期间访问跨源的音频数据。

  • CVE-2018-12392:嵌套事件循环崩溃。***者可以利用该漏洞触发可利用的崩溃。

  • CVE-2018-12393:加载JavaScript时Unicode转换期间的整数溢出。这个越界写入漏洞仅影响32位版本。

关于这些漏洞的利用条件,Mozilla表示:“通常,这些漏洞无法通过Thunderbird产品中的电子邮件来进行利用,因为在阅读邮件时脚本是被禁用的,但在浏览器或类似浏览器的上下文中存在潜在风险。”