开源邮件客户端 Thunderbird 91.3 发布:修复 10 个重要的漏洞

软餐获悉,开源的电子邮件客户端 Thunderbird 91.3 近日发布,Mozilla 在新版本中修复了 10 个重要的漏洞,这些漏洞可能导致拒绝服务、欺骗源、绕过安全策略并允许任意代码执行。其中一个被标记为 CVE-2021-38505 的漏洞与 Windows 10 云剪贴板有关,它可能导致敏感数据被上传到 Microsoft 服务器,存在潜在的风险。Mozilla 建议用户尽快将 Thunderbird 升级到 91.3 或更高版本。

Mozilla 的统计数据显示,Thunderbird 用户对升级新版本并不积极,目前仅有 65%  的 Thunderbird 用户升级到 91.x。10 月初发布的 Thunderbird 91.2 为仍在使用 Thunderbird 78.x 的用户开启了自动更新功能,这些用户只需开启自动更新(“工具”>“首选项”>“Thunderbird 更新”),就能升级到最新版本。

附 Mozilla Thunderbird 91.3 修复的 10 个漏洞。

  • CVE-2021-38503:允许脚本执行的 iframe 绕过限制
  • CVE-2021-38504:文件选择器对话框中的 user-after-free,导致内存损坏和潜在可利用的崩溃
  • CVE-2021-38505:Windows 10 云剪贴板敏感数据记录,将用户敏感数据复制到用户微软账户,增加信息泄露风险。
  • CVE-2021-38506:强制 Thunderbird 在没有用户交互的情况下进入全屏模式,为 UI 欺骗和网络钓鱼攻击奠定基础。
  • CVE-2021-38507:通过利用机会加密功能绕过 “同源策略”。
  • CVE-2021-38508:能够覆盖权限提示以欺骗用户授予任何权限。
  • CVE-2021-38509:使用任意内容欺骗 JavaScript 警报 () 对话框。
  • CVE-2021-38510:绕过 .inetloc 文件的 “下载保护”,允许在 macOS 上执行代码。
  • MOZ-2021-0008:HTTP2 会话对象中的释放后使用,导致内存损坏并可能导致可利用的崩溃。
  • MOZ-2021-0007:可能导致任意代码执行的内存损坏缺陷。
开源邮件客户端 Thunderbird 91.3 发布:修复10个重要的漏洞
(0)
瞻宇的头像瞻宇

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注