Mozilla Thunderbird多個高危漏洞預警

一、漏洞情況

8月11日，Mozilla發布安全更新公告，修復了Mozilla Thunderbird的多個安全漏洞，其中漏洞CVE編號：CVE-2021-29986、CVE-2021-29988、CVE-2021-29984、CVE-2021-29980、CVE-2021-29989為高危漏洞。攻擊者可利用這些漏洞導致內存破壞、執行任意代碼或潛在其他的安全風險。建議受影響用戶及時更新至安全版本進行防護，做好資產自查以及預防工作，以免遭受黑客攻擊。

二、漏洞等級

高危

三、漏洞描述

Mozilla Thunderbird是美國Mozilla基金會的一套從Mozilla Application Suite獨立出來的電子郵件客戶端軟件。該軟件支持IMAP、POP郵件協議以及HTML郵件格式。

1. CVE-2021-29986 緩沖區溢出漏洞

該漏洞是由于解析DNS時getaddrinfo中存在競爭條件錯誤，遠程攻擊者通過創建特制的網頁，并誘使用戶打開它，從而觸發內存破壞，導致在目標系統上執行任意代碼。目前該漏洞只影響Linux操作系統。

2. CVE-2021-29988 越界讀取漏洞

該漏洞是由于不正確的把行內list-item元素對待為塊元素，造成越界讀取或內存破壞。遠程攻擊者通過創建特制的網頁，并誘使用戶打開它，觸發越界讀取錯誤，導致在目標系統上執行任意代碼。

3. CVE-2021-29984 緩沖區溢出漏洞

該漏洞是由于執行JIT優化時存在邊界錯誤，攻擊者可利用該漏洞在目標系統上執行任意代碼。

4. CVE-2021-29980 內存破壞漏洞

該漏洞是由于Uninitialized memory中未初始化的內存可能導致內存破壞。攻擊者可利用該漏洞在目標系統上執行任意代碼。

5. CVE-2021-29989 緩沖區溢出漏洞

該漏洞是由于處理HTML內容時存在邊界錯誤，可導致內存破壞。攻擊者可利用該漏洞在目標系統上執行任意代碼。

四、影響范圍

Mozilla Thunderbird < 78.13

五、安全建議

建議受影響的用戶盡快升級到Mozilla Thunderbird 78.13或更高版本。

https://www.thunderbird.net/en-US/thunderbird/all/

六、參考鏈接

https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/