聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Mozilla 发布 Thunderbird 91.3 修复多个高危漏洞，它们可引发拒绝服务、来源欺骗、安全策略绕过和任意代码执行后果。攻击者只需诱骗用户在浏览上下文中打开一个特殊构造的网站即可利用这些漏洞。

01

多个高危缺陷

Mozilla Thunderbird 91.3 版本修复了由多名研究员发现的10个漏洞，覆盖该邮件客户端的多个功能。

• CVE-2021-38503：iframe 绕过限制，可导致脚本执行。

• CVE-2021-38504：文件选择器对话框中的释放后使用漏洞，可导致内存损坏和潜在的可利用崩溃。

• CVE-2021-38505：Windows 10 Cloud Clipboard 记录敏感数据并复制到用户的微软账户，增加信息暴露风险。

• CVE-2021-38506：在无需用户交互的情况下强制 Thunderbird 进入全屏模式，为后续的UI欺骗和钓鱼攻击铺路。

• CVE-2021-38507：利用Opportunistic Encryption 特性绕过同源策略。

• CVE-2021-38508：覆盖Permission Prompt，诱骗用户给出权限。

• CVE-2021-38509：通过任意内容欺骗JavaScript alert() 对话。

• CVE-2021-38510：绕过 .inetloc 文件上的“下载防护”功能，在macOS 上执行代码。

• CVE-2021-0008：HTTP2 会话对象中的释放后使用漏洞，可导致内存损坏，有可能导致可利用的崩溃。

• CVE-2021-0007：内存损坏缺陷，可导致任意代码执行。

02

CVE-2021-38505

其中CVE-2021-38505和Windows 10 Cloud 剪贴板有关。剪贴板特性在2018年引入，启用后可将复制到剪贴板的数据同步到云中，从而可以从其它设备访问。

为防止敏感数据被同步到云中，微软引入特定的剪贴板格式阻止Windows 将其拷贝到云中。然而，Thunderbird 和 Mozilla 并不使用这些格式，从而导致敏感数据可能被同步。

Mozilla 公司指出，“应用程序如希望阻止从 Cloud History 记录所复制数据，则必须使用特定的剪贴板格式；早于版本94和 ESR 91.3 的火狐浏览器并未实现，从而可能导致敏感数据被记录到用户的微软账户。“

鉴于以上缺陷的严重性，用户应尽快更新至91.3版本或后续版本。打开Thunderbird，点击 app 目录，选择 Help＞About Thunderbird，即可下载并安装最新版本。Ubuntu 已发布影响 Linux 发行版本的 Thunderbird 安全通知，稳定仓库版本已提供更新后的程序包。

03

更新至91.x版本的用户数量偏低

从 Mozilla 公布的数据来看，仅有65%的 Thunderbird 用户更新至91.x，其余用户仍然使用更老旧的、不受支持的且易受攻击的版本。

一个月前，Mozilla 强制用户从78.x版本更新至91.x 版本，确保所有人运行的都是最新稳定版本。然而，鉴于这两个主流发布的附件不兼容问题，很多用户选择仍然使用78.x版本，而从安全角度来看这一选择无疑加剧了安全风险。

推荐阅读

Mozilla修复开源邮件客户端 Thunderbird 中的严重漏洞

开源的电信堆栈软件 FreeSwitch 中存在五个漏洞

热门开源CI/CD解决方案 GoCD 中曝极严重漏洞，可被用于接管服务器并执行任意代码

ProxyToken：微软 Exchange 服务器中的认证绕过新漏洞，可窃取用户邮件

原文链接

https://www.bleepingcomputer.com/news/security/mozilla-thunderbird-913-released-to-fix-high-impact-flaws/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~