Mozilla ออก patch ให้กับ Thunderbird และ open source อื่นๆของค่ายตัวเอง โดยมี patch ของ Thunderbird ซึ่งเป็น email client ที่ได้รับความนิยมมากอยู่ด้วย โดย patch ที่ปล่อยออกมาทั้งหมดเป็นการ patch 5 ช่องโหว่และมี 2 ช่องโหว์ที่เป็นช่องโหว่ร้ายแรง

ช่องโหว่ร้ายแรงใน Thunderbird เป็นช่องโหว่ Buffer Overflow (CVE-2017-7845) ซึ่ง Thunderbird version Windows เท่านั้นที่ได้รับผลกระทบ โดยช่องโหว่ดังกล่าวพบใน lib Direct 3D 9

อีกช่องโหว่ร้ายแรงที่พบคือ CVE-2017-7845 ซึ่งพบใน Firefox web browser

อีกทั้งยังมีช่องโหว่รุนแรงสูงอีก 2 ช่องโหว่คือ CVE-2017-7846 และ CVE-2017-7847. ช่องโหว่แรกเป็น Thunderbird’s RSS reader. ช่องโหว่ดังกล่าวทำให้เกิด execute JavaScript ได้เมื่อมีการ parsed RSS feed เมื่อ view RSS feed ในรูปแบบของ website,(เข้าไปที่ ‘View -> Feed article -> Website’ หรือ ‘View -> Feed article -> default format’) และอีกอันคือการสร้าง CSS ใน RSS Feed ที่ทำให้สามารถดู path ภายในเครื่องได้ ซึ่ง path ดังกล่าวอาจจะมี username อยู่ด้วย

อีก 2 ช่องโหว่ที่เป็นรุนแรงปานกลางและต่ำเป็นช่องโหว่เกี่ยวกับ RSS Feed และการ spoofing email

หากใครใช้ application เหล่านี้ก็อย่าลืม update กันนะครับ

Source:: ThreatPost