Mozilla在Thunderbird 60.3中的修补了多个安全漏洞

Mozilla最近在新发布的Thunderbird 60.3电子邮件客户端中修复了多个安全漏洞，其中包括一个紧急（Critical）漏洞。据称，该漏洞也影响到Mozilla的Firefox和Firefox ESR浏览器。

一个紧急漏洞影响多款Mozilla产品

在上周，Mozilla为其最新产品Thunderbird 60.3修补了多个安全漏洞，其中包括一个紧急漏洞。该漏洞不仅影响了Thunderbird电子邮件客户端，而且还影响了Firefox 62和Firefox ESR 60.2浏览器。

正如Mozilla在其安全咨询中所描述的那样，这个被标识为CVE-2018-12390的内存安全漏洞是由Mozilla的多名社区成员和开发人员联合发现并报告的。

Mozilla说：“其中一些bug展现出了内存损坏的迹象。我们认为，只要付出足够的努力，这些bug就可以被用来执行任意代码。”

目前，Mozilla已经在Firefox 63、Firefox ESR 60.3和Thunderbird 60.3中修复了该漏洞。

在Thunderbird 60.3中修复的其他漏洞

除了上述这个紧急漏洞之外，Mozilla还发布了针对其他几个影响到Thunderbird的漏洞的修复程序。其中包括三个高危（High）漏洞，以及一个被标识为CVE-2018-12389的低危（Low）漏洞。

三个高危漏洞的具体描述如下：

CVE-2018-12391：HTTP Live Stream（HLS）音频数据可访问跨域（仅适用于Android版本的Firefox）。该漏洞可能允许攻击者在Android版本Firefox浏览器上的HTTP实时流播放期间访问跨源的音频数据。

CVE-2018-12392：嵌套事件循环崩溃。攻击者可以利用该漏洞触发可利用的崩溃。

CVE-2018-12393：加载JavaScript时Unicode转换期间的整数溢出。这个越界写入漏洞仅影响32位版本。

关于这些漏洞的利用条件，Mozilla表示：“通常，这些漏洞无法通过Thunderbird产品中的电子邮件来进行利用，因为在阅读邮件时脚本是被禁用的，但在浏览器或类似浏览器的上下文中存在潜在风险。”