Mozilla Thunderbird 安全漏洞

CNNVD-ID编号	CNNVD-202209-004	CVE编号	CVE-2022-3033
发布时间	2022-09-01	更新时间	2022-09-02
漏洞类型	其他	漏洞来源	N/A
危险等级	N/A	威胁类型	远程
厂商	N/A

漏洞介绍

Mozilla Thunderbird是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。 Thunderbird存在安全漏洞，该漏洞源于如果Thunderbird用户回复了一封包含元标签的精心制作的HTML邮件，元标记具有http-equiv=”refresh“属性，以及内容属性指定URL，然后Thunderbird启动对该URL的网络请求URL，而不考虑阻止远程内容的配置。结合电子邮件中的某些其他HTML元素和属性，可以在消息撰写文档的上下文中执行消息中包含的JavaScript代码。JavaScript代码能够执行的操作包括读取和修改消息撰写文档的内容（包括引用的原始消息），它可能包含精制电子邮件中加密数据的解密明文。然后，可以将内容传输到网络，要么传输到META刷新标记中指定的URL，要么传输到不同的URL，因为JavaScript代码可以修改文档中指定的URL。此错误不会影响将默认消息体显示设置更改为“简单html”或“纯文本”的用户。