软餐获悉,开源的电子邮件客户端 Thunderbird 91.3 近日发布,Mozilla 在新版本中修复了 10 个重要的漏洞,这些漏洞可能导致拒绝服务、欺骗源、绕过安全策略并允许任意代码执行。其中一个被标记为 CVE-2021-38505 的漏洞与 Windows 10 云剪贴板有关,它可能导致敏感数据被上传到 Microsoft 服务器,存在潜在的风险。Mozilla 建议用户尽快将 Thunderbird 升级到 91.3 或更高版本。
Mozilla 的统计数据显示,Thunderbird 用户对升级新版本并不积极,目前仅有 65% 的 Thunderbird 用户升级到 91.x。10 月初发布的 Thunderbird 91.2 为仍在使用 Thunderbird 78.x 的用户开启了自动更新功能,这些用户只需开启自动更新(“工具”>“首选项”>“Thunderbird 更新”),就能升级到最新版本。
附 Mozilla Thunderbird 91.3 修复的 10 个漏洞。
- CVE-2021-38503:允许脚本执行的 iframe 绕过限制
- CVE-2021-38504:文件选择器对话框中的 user-after-free,导致内存损坏和潜在可利用的崩溃
- CVE-2021-38505:Windows 10 云剪贴板敏感数据记录,将用户敏感数据复制到用户微软账户,增加信息泄露风险。
- CVE-2021-38506:强制 Thunderbird 在没有用户交互的情况下进入全屏模式,为 UI 欺骗和网络钓鱼攻击奠定基础。
- CVE-2021-38507:通过利用机会加密功能绕过 “同源策略”。
- CVE-2021-38508:能够覆盖权限提示以欺骗用户授予任何权限。
- CVE-2021-38509:使用任意内容欺骗 JavaScript 警报 () 对话框。
- CVE-2021-38510:绕过 .inetloc 文件的 “下载保护”,允许在 macOS 上执行代码。
- MOZ-2021-0008:HTTP2 会话对象中的释放后使用,导致内存损坏并可能导致可利用的崩溃。
- MOZ-2021-0007:可能导致任意代码执行的内存损坏缺陷。
微信扫一扫