漏洞情报 | Mozilla Thunderbird 发布安全更新修复多个高危漏洞

0x01 漏洞描述

Mozilla Thunderbird是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。

360漏洞云监测到Mozilla于北京时间2021年8月11日发布安全更新，修复了多个Thunderbird漏洞。

• CVE-2021-29986
• 该漏洞源于解析DNS时getaddrinfo中的竞争条件，可导致内存损坏和可利用的崩溃。该漏洞只影响Linux操作系统。
• CVE-2021-29988
• 该漏洞源于不正确的把行内list-item元素对待为块元素，造成越界读取或内存损坏，以及可利用的崩溃。
• CVE-2021-29984
• 该漏洞源于JIT优化中不正确的指令重排，可导致内存损坏和可利用的崩溃。
• CVE-2021-29980
• 该漏洞源于canvas对象中未初始化的内存，可导致内存损坏和可利用的崩溃。
• CVE-2021-29985
• 该漏洞源于media channels的释放后重用，可导致内存损坏和可利用的崩溃。
• CVE-2021-29989
• 该漏洞源于处理HTML内容时的边界错误，可导致内存损坏，可能被利用来允许任意代码。

0x02 危害等级

高危

0x03 影响版本

Mozilla Thunderbird <78.13

0x04 修复版本

Mozilla Thunderbird 78.13

0x05 修复建议

厂商已发布升级修复漏洞，用户请尽快更新至安全版本。