Mozilla Thunderbird 多個漏洞

在 Mozilla Thunderbird 發現多個漏洞，遠端攻擊者可利用漏洞導致任意程式碼執行、獲取權限提升及洩露敏感資料。

• 遠端用戶可建立特製的內容，當被目標用戶載入時，於目標的系統上執行任意程式碼。
• 當遠端用戶直接運行 Mozilla 更新器 (updater.exe)，該更新器由目前的工作路徑或視窗暫存路徑載入 DLL 檔案。本機用戶可建立特製的 DLL 及導致目標用戶執行該 DLL。
• 遠端用戶可利用 IndexedDB 建立特製的內容，當被目標用戶載入時，於 mozilla::dom::IndexedDB::IDBObjectStore::CreateIndex() 觸發記憶體釋放後使用的錯誤，並中止或執行任意程式碼。
• 遠端用戶可建立特製 SVG 圖像，當被目標用戶載入時，於 mozilla::gfx::CopyRect() 觸發記憶體錯誤，並讀取未初始化的記憶體。
• 遠端用戶可操控表格自動填入的功能，導致本機檔案由已知的位置上傳。