Mozilla Thunderbird多个高危漏洞预警

一、漏洞情况

8月11日，Mozilla发布安全更新公告，修复了Mozilla Thunderbird的多个安全漏洞，其中漏洞CVE编号：CVE-2021-29986、CVE-2021-29988、CVE-2021-29984、CVE-2021-29980、CVE-2021-29989为高危漏洞。攻击者可利用这些漏洞导致内存破坏、执行任意代码或潜在其他的安全风险。建议受影响用户及时更新至安全版本进行防护，做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞描述

Mozilla Thunderbird是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。

1. CVE-2021-29986 缓冲区溢出漏洞

该漏洞是由于解析DNS时getaddrinfo中存在竞争条件错误，远程攻击者通过创建特制的网页，并诱使用户打开它，从而触发内存破坏，导致在目标系统上执行任意代码。目前该漏洞只影响Linux操作系统。

2. CVE-2021-29988 越界读取漏洞

该漏洞是由于不正确的把行内list-item元素对待为块元素，造成越界读取或内存破坏。远程攻击者通过创建特制的网页，并诱使用户打开它，触发越界读取错误，导致在目标系统上执行任意代码。

3. CVE-2021-29984 缓冲区溢出漏洞

该漏洞是由于执行JIT优化时存在边界错误，攻击者可利用该漏洞在目标系统上执行任意代码。

4. CVE-2021-29980 内存破坏漏洞

该漏洞是由于Uninitialized memory中未初始化的内存可能导致内存破坏。攻击者可利用该漏洞在目标系统上执行任意代码。

5. CVE-2021-29989 缓冲区溢出漏洞

该漏洞是由于处理HTML内容时存在边界错误，可导致内存破坏。攻击者可利用该漏洞在目标系统上执行任意代码。

四、影响范围

Mozilla Thunderbird < 78.13

五、安全建议

建议受影响的用户尽快升级到Mozilla Thunderbird 78.13或更高版本。

https://www.thunderbird.net/en-US/thunderbird/all/

六、参考链接

https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/