HKCert
  

Mozilla Thunderbird 多個漏洞

發布日期: 25 / 02 / 2015
最後更新: 27 / 02 / 2015
嚴重性:  


在 Mozilla Thunderbird 發現多個漏洞,遠端攻擊者可利用漏洞導致任意程式碼執行、獲取權限提升及洩露敏感資料。

  • 遠端用戶可建立特製的內容,當被目標用戶載入時,於目標的系統上執行任意程式碼。
  • 當遠端用戶直接運行 Mozilla 更新器 (updater.exe),該更新器由目前的工作路徑或視窗暫存路徑載入 DLL 檔案。本機用戶可建立特製的 DLL 及導致目標用戶執行該 DLL。
  • 遠端用戶可利用 IndexedDB 建立特製的內容,當被目標用戶載入時,於 mozilla::dom::IndexedDB::IDBObjectStore::CreateIndex() 觸發記憶體釋放後使用的錯誤,並中止或執行任意程式碼。
  • 遠端用戶可建立特製 SVG 圖像,當被目標用戶載入時,於 mozilla::gfx::CopyRect() 觸發記憶體錯誤,並讀取未初始化的記憶體。
  • 遠端用戶可操控表格自動填入的功能,導致本機檔案由已知的位置上傳。
  • 權限提升
  • 遠端執行程式碼
  • 資料洩露

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。

  • 更新至版本 31.5