Mozilla最近在新發布的Thunderbird 60.3電子郵件客戶端中修復了多個安全漏洞，其中包括一個緊急（Critical）漏洞。據稱，該漏洞也影響到Mozilla的Firefox和Firefox ESR瀏覽器。

一個緊急漏洞影響多款Mozilla產品

在上週，Mozilla為其最新產品Thunderbird 60.3修補了多個安全漏洞，其中包括一個緊急漏洞。該漏洞不僅影響了Thunderbird電子郵件客戶端，而且還影響了Firefox 62和Firefox ESR 60.2瀏覽器。

正如Mozilla在其安全諮詢中所描述的那樣，這個被標識為CVE-2018-12390的記憶體安全漏洞是由Mozilla的多名社群成員和開發人員聯合發現並報告的。

Mozilla說：“其中一些bug展現出了記憶體損壞的跡象。我們認為，只要付出足夠的努力，這些bug就可以被用來執行任意程式碼。”

目前，Mozilla已經在Firefox 63、Firefox ESR 60.3和Thunderbird 60.3中修復了該漏洞。

在Thunderbird 60.3中修復的其他漏洞

除了上述這個緊急漏洞之外，Mozilla還發布了針對其他幾個影響到Thunderbird的漏洞的修復程式。其中包括三個高危（High）漏洞，以及一個被標識為CVE-2018-12389的低危（Low）漏洞。

三個高危漏洞的具體描述如下：

• CVE-2018-12391：HTTP Live Stream（HLS）音訊資料可訪問跨域（僅適用於Android版本的Firefox）。該漏洞可能允許攻擊者在Android版本Firefox瀏覽器上的HTTP實時流播放期間訪問跨源的音訊資料。
• CVE-2018-12392：巢狀事件迴圈崩潰。攻擊者可以利用該漏洞觸發可利用的崩潰。
• CVE-2018-12393：載入JavaScript時Unicode轉換期間的整數溢位。這個越界寫入漏洞僅影響32位版本。

關於這些漏洞的利用條件，Mozilla表示：“通常，這些漏洞無法通過Thunderbird產品中的電子郵件來進行利用，因為在閱讀郵件時指令碼是被禁用的，但在瀏覽器或類似瀏覽器的上下文中存在潛在風險。”