安全更新 Mozilla修复了 Thunderbird 雷鸟 5个安全漏洞

导语：近日，Mozilla最新发布了一项重要的安全更新，用于修复其流行的开源电子邮件客户端“雷鸟”（Thunderbird）52.5.2版本中存在的5个安全漏洞。

Mozilla Thunderbird是由Mozilla浏览器的邮件功能部件所改造的邮件工具，使用 XUL 程序介面语言所设计，是专门为搭配 Mozilla Firefox 浏览器使用者所设计的邮件客户端软件。

近日，Mozilla最新发布了一项重要的安全更新，用于修复其流行的开源电子邮件客户端“雷鸟”（Thunderbird）52.5.2版本中存在的5个安全漏洞，其中包含一个“关键”级别漏洞、两个“高危”级别漏洞，一个“中危”级别漏洞以及一个“低危”级别漏洞。

漏洞信息

Thunderbird 52.5.2版本中最严重的漏洞是在Windows操作系统上运行的Thunderbird关键缓冲区溢出漏洞（CVE-2017-7845）。

根据Mozilla发布的安全通告显示，

在使用 Direct 3D 9 和 ANGLE 图形库（用于 WebGL 内容）绘制和验证元素时，就会出现缓冲区溢出现象。这是由于检查过程中在库中传递的值不正确，并最终导致了潜在可利用的崩溃。值得注意的是，这一漏洞只影响 Windows 操作系统，其他的操作系统并不会受此漏洞影响。

两个“高危”级别的漏洞分别为CVE-2017-7846和CVE-2017-7847。其中第一个漏洞（CVE-2017-7846）主要影响Thunderbird的RSS 阅读器。根据安全通告所述，

当RSS Feed被视为一个网站时，例如通过“View （查看）– > Feed article （Feed文章）– > Website（网站）”或标准格式的“View （查看）– > Feed article （Feed文章）– > default format（默认格式）”查看内容时，可以在解析的RSS Feed 中执行JavaScript代码。

另外一个“高危”漏洞（CVE-2017-7847）同样也会影响RSS阅读器。根据安全通告所述，

在RSS Feed中制作的CSS可能会泄露并显示包含用户名的本地路径字符串。

一个“中危”漏洞被标记为CVE-2017-7848，该漏洞同样也会影响RSS feed。安全通告表示，

RSS字段可以在创建的电子邮件结构中注入新行，修改消息的正文。

最后一个漏洞CVE -2017-7829属于“低危”级别，它会影响电子邮件。根据Mozilla的安全通告所述，

攻击者可以利用该漏洞假冒发件人的电子邮件地址，并向电子邮件收件人显示任意的发件人地址。如果在显示字符串中以空字符开头，那么真正的发件人地址将不会显示出来。

其实，Mozilla已经很早就停止了对Thunderbird的开发，但是仍然没有放弃为其修复问题，只是不会再有新的功能加入，对于此次安全更新，安全专家建议用户还需尽快前往Mozilla官网查询并修复漏洞，避免为攻击者留下可乘之机。