Mozilla Thunderbird 安全漏洞

CNNVD-ID编号 CNNVD-202209-004
CVE编号 CVE-2022-3033
发布时间 2022-09-01
更新时间 2022-09-02
漏洞类型 其他
漏洞来源 N/A
危险等级 N/A
威胁类型 远程
厂 商 N/A

漏洞介绍

Mozilla Thunderbird是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。 Thunderbird存在安全漏洞,该漏洞源于如果Thunderbird用户回复了一封包含元标签的精心制作的HTML邮件,元标记具有http-equiv=”refresh“属性,以及内容属性指定URL,然后Thunderbird启动对该URL的网络请求URL,而不考虑阻止远程内容的配置。结合电子邮件中的某些其他HTML元素和属性,可以在消息撰写文档的上下文中执行消息中包含的JavaScript代码。JavaScript代码能够执行的操作包括读取和修改消息撰写文档的内容(包括引用的原始消息),它可能包含精制电子邮件中加密数据的解密明文。然后,可以将内容传输到网络,要么传输到META刷新标记中指定的URL,要么传输到不同的URL,因为JavaScript代码可以修改文档中指定的URL。此错误不会影响将默认消息体显示设置更改为“简单html”或“纯文本”的用户。

漏洞补丁

目前厂商已发布升级了Mozilla Thunderbird 安全漏洞的补丁,Mozilla Thunderbird 安全漏洞的补丁获取链接: https://www.mozilla.org/en-US/security/advisories/mfsa2022-38

参考网址

受影响实体

  • 暂无

信息来源