Mozilla 安全公告 2026-34 总结 漏洞概述 Mozilla 基金会发布安全公告,修复了 Thunderbird 140.10 中的多项安全漏洞。这些漏洞主要涉及内存安全、权限提升、信息泄露等问题。 影响范围 受影响产品: Thunderbird 140.10 影响等级: 高(High)/ 中等(Moderate)/ 低(Low) 公告日期: 2026年4月21日 修复方案 升级到 Thunderbird 140.10 版本以修复所有列出的漏洞。 关键漏洞详情 高危漏洞 (High Impact) CVE-2026-6746: DOM 组件中的 use-after-free 漏洞 CVE-2026-6747: WebRTC 组件中的 use-after-free 漏洞 CVE-2026-6748: 音频/视频编解码器组件中的未初始化内存 CVE-2026-6749: Canvas2D 组件中的信息泄露 CVE-2026-6750: WebRender 组件中的权限提升 CVE-2026-6751: 音频/视频编解码器组件中的未初始化内存 CVE-2026-6752: WebRTC 组件中的边界条件错误 CVE-2026-6753: WebRTC 组件中的边界条件错误 CVE-2026-6754: JavaScript 引擎中的 use-after-free 漏洞 CVE-2026-6759: Cocoa 组件中的 use-after-free 漏洞 CVE-2026-6785: Firefox ESR 115.35/140.10 和 Thunderbird 140.10/150 中的内存安全漏洞 CVE-2026-6786: Firefox ESR 140.10 和 Thunderbird 140.10/150 中的内存安全漏洞 中等风险漏洞 (Moderate Impact) CVE-2026-6757: JavaScript WebAssembly 组件中的无效指针 CVE-2026-6761: 网络组件中的权限提升 CVE-2026-6762: DOM 组件中的欺骗问题 CVE-2026-6763: 文件处理组件中的缓解绕过 CVE-2026-6764: 设备接口组件中的边界条件错误 CVE-2026-6765: 表单自动填充组件中的信息泄露 CVE-2026-6766: NSS 库组件中的边界条件错误 CVE-2026-6767: NSS 库组件中的其他问题 CVE-2026-6769: 调试器组件中的权限提升 CVE-2026-6770: IndexedDB 存储组件中的其他问题 CVE-2026-6771: DOM 安全组件中的缓解绕过 CVE-2026-6772: NSS 库组件中的边界条件错误 低风险漏洞 (Low Impact) CVE-2026-6776: WebRTC 网络组件中的边界条件错误 重要说明 这些漏洞在邮件读取时由于脚本禁用而无法通过邮件利用 但在浏览器或浏览器类似环境中可能存在风险 部分漏洞涉及内存安全,可能被利用执行任意代码