一、漏洞情况

8月11日,Mozilla发布安全更新公告,修复了Mozilla Thunderbird的多个安全漏洞,其中漏洞CVE编号:CVE-2021-29986、CVE-2021-29988、CVE-2021-29984、CVE-2021-29980、CVE-2021-29989为高危漏洞。攻击者可利用这些漏洞导致内存破坏、执行任意代码或潜在其他的安全风险。建议受影响用户及时更新至安全版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞描述

Mozilla Thunderbird是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。

1. CVE-2021-29986 缓冲区溢出漏洞

该漏洞是由于解析DNS时getaddrinfo中存在竞争条件错误,远程攻击者通过创建特制的网页,并诱使用户打开它,从而触发内存破坏,导致在目标系统上执行任意代码。目前该漏洞只影响Linux操作系统。

2. CVE-2021-29988 越界读取漏洞

该漏洞是由于不正确的把行内list-item元素对待为块元素,造成越界读取或内存破坏。远程攻击者通过创建特制的网页,并诱使用户打开它,触发越界读取错误,导致在目标系统上执行任意代码。

3. CVE-2021-29984 缓冲区溢出漏洞

该漏洞是由于执行JIT优化时存在边界错误,攻击者可利用该漏洞在目标系统上执行任意代码。

4. CVE-2021-29980 内存破坏漏洞

该漏洞是由于Uninitialized memory中未初始化的内存可能导致内存破坏。攻击者可利用该漏洞在目标系统上执行任意代码。

5. CVE-2021-29989 缓冲区溢出漏洞

该漏洞是由于处理HTML内容时存在边界错误,可导致内存破坏。攻击者可利用该漏洞在目标系统上执行任意代码。

四、影响范围

Mozilla Thunderbird < 78.13

五、安全建议

建议受影响的用户尽快升级到Mozilla Thunderbird 78.13或更高版本。

https://www.thunderbird.net/en-US/thunderbird/all/

六、参考链接

https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/

mozilla 漏洞
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接