CNNVD-ID编号 | CNNVD-202209-004 |
CVE编号 | CVE-2022-3033 |
发布时间 | 2022-09-01 |
更新时间 | 2022-09-02 |
漏洞类型 | 其他 |
漏洞来源 | N/A |
危险等级 | N/A |
威胁类型 | 远程 |
厂 商 | N/A |
Mozilla Thunderbird是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。 Thunderbird存在安全漏洞,该漏洞源于如果Thunderbird用户回复了一封包含元标签的精心制作的HTML邮件,元标记具有http-equiv=”refresh“属性,以及内容属性指定URL,然后Thunderbird启动对该URL的网络请求URL,而不考虑阻止远程内容的配置。结合电子邮件中的某些其他HTML元素和属性,可以在消息撰写文档的上下文中执行消息中包含的JavaScript代码。JavaScript代码能够执行的操作包括读取和修改消息撰写文档的内容(包括引用的原始消息),它可能包含精制电子邮件中加密数据的解密明文。然后,可以将内容传输到网络,要么传输到META刷新标记中指定的URL,要么传输到不同的URL,因为JavaScript代码可以修改文档中指定的URL。此错误不会影响将默认消息体显示设置更改为“简单html”或“纯文本”的用户。
来源:www.auscert.org.au
暂无