Die Sicherheitslücken sollen in allen Versionen unter Linux, macOS und Windows stecken. Die Ausgabe 52.5 ist schon abgesichert. Weil das Scripting in dem Mailclient standardmäßig deaktiviert ist, sollte sich ein Angriff nicht über Emails einleiten lassen.
Wenn Angreifer die beiden kritische Lücken (CVE-2017-7826, CVE-2017-7828) ausnutzen, sollen sie aus der Ferne ohne Authentifizierung Speicherfehler (z. B. use-after-free) hervorrufen und darüber Schadcode ausführen können.
Die dritte Schwachstelle (CVE-2017-7830) in Mozillas Donnervogel mit dem Bedrohungsgrad „hoch“ könnten Angreifer als Einstieg zum Diebstahl von Informationen aus dem System ausnutzen.