Mozilla修复了Thunderbird中允许执行代码的缺陷

华盟君引言“Mozilla为雷鸟电子邮件客户端发布了安全更新，解决了可能在受影响的系统上执行代码的漏洞。”

Mozilla为雷鸟电子邮件客户端发布了安全更新，解决了攻击者可能利用的漏洞，以便在受影响的系统上执行任意代码。

Mozilla发布了雷鸟60.7.1版本，解决了三个严重漏洞和一个低风险问题。

Mozilla解决的三个严重漏洞是:

CVE-2019-11703 -函数icalparser.c中的堆缓冲区溢出;

CVE-2019-11704 -函数icalvalue.c中的堆缓冲区溢出;

CVE-2019-11705 -函数中的堆栈缓冲区溢出;

低风险问题跟踪为CVE-2019-11706，是icalproperty.c中的一种类型混淆。

Mozilla发布了一个安全更新来解决雷鸟的漏洞。攻击者可以利用这些漏洞来控制受影响的系统。US-CERT发布的这份建议中写道。

“网络安全和基础设施安全局(CISA)鼓励用户和管理员审查雷鸟60.7.1的Mozilla安全建议，并应用必要的更新。”

这些漏洞影响到60.7.1之前的所有雷鸟版本。

根据用户的特权，攻击者可以执行一些恶意活动，比如安装恶意应用程序和创建新的管理帐户。

Mozilla将上述缺陷的发现归功于X41 D-Sec的研究员路易斯·梅里诺(Luis Merino)。这些漏洞会影响iCal功能的实现，在处理特殊编写的电子邮件消息时，可能会导致系统崩溃。

这位专家指出，雷鸟无法通过电子邮件触发这些缺陷，因为在阅读邮件时禁用了脚本。这个问题可以在浏览器或类似浏览器的上下文中使用。

好消息是Mozilla还没有意识到任何利用这些漏洞的攻击。