处理格式有误的内容时发现数个瑕疵

处理格式有误的内容时发现数个瑕疵。

在 Thunderbird 处理 web 背景工作相关之错误讯息的方式中发现一个瑕疵。攻击者可利用此瑕疵绕过同源原则，这可导致跨网站指令码 (XSS) 攻击，或可能被用来从第三方网站收集验证 token 和其他资料。(CVE-2014-1487)

攻击者可利用此瑕疵使 Thunderbird 当机。与其他弱点结合时，此瑕疵可能具有其他安全性影响。(CVE-2014-1479)

据发现，Thunderbird JavaScript 引擎错误处理视窗物件。远端攻击者可利用此瑕疵绕过特定安全性检查，且可能执行任意程式码。

注意：由于邮件讯息预设为停用 JavaScript，因此攻击者无法利用特制的 HTML 邮件讯息恶意利用上述问题。这些问题可在 Thunderbird 中透过其他方式遭到恶意利用，例如，检视完整的远端 RSS 摘要内容。

安装更新之后，Thunderbird 必须重新启动，变更才会生效。