Mozilla Foundation
Med lanseringen av Thunderbird 52.9 har utvecklare kunnat åtgärda ett antal kritiska säkerhetsfel och därför uppmanas användarna att uppgradera för att säkerställa att de inte bryter mot någon av dessa sårbarheter. Eftersom Thunderbird inaktiverar skript när du läser e-post, kan det vanligtvis inte drabbas av de flesta av dessa. Det finns dock potentiella risker i webbläsarliknande kontroller som är oroande nog att organisationen ägde mycket tid åt att se till att ingen av dessa problem kunde hittas i naturen.
Buffertöverflöden är alltid några av de mer rörande sårbarheterna, och felutnyttjande # CVE-2018-12359 skulle ha litat på just den här tekniken för att ta kontroll över e-postklienten. Överflöden kan teoretiskt inträffa vid rendering av dukmoduler när höjd och bredd på ett dukelement flyttades dynamiskt.
Om detta hände kan data skrivas utanför normala minnesgränser och möjliggöra exekvering av godtycklig kod. ”12359 har fixats i version 52.9, vilket förmodligen är tillräckligt skäl för de flesta användare att uppgradera.
Den andra stora sårbarheten, # CVE-2018-12360, kunde hypotetiskt ha inträffat när ett inmatningselement raderades vid vissa tider. Detta skulle vanligtvis behöva utnyttja metoden som används av mutationshändelsehanterare som utlöses när ett element är fokuserat.
Även om det är relativt osannolikt att '12360 kunde ha hänt i naturen, var möjligheten för godtycklig kodutförande tillräckligt hög för att ingen ville riskera att något skulle hända. Som ett resultat har detta fel också lappats tillsammans med ett som involverar CSS-element och ett annat som involverar en läckage i klartext från dekrypterade e-postmeddelanden.
Användare som vill uppgradera till den senaste versionen och därmed dra nytta av dessa buggfixar behöver inte oroa sig mycket för systemkraven. Windows-versionen fungerar med så gamla installationer som Windows XP och Windows Server 2003.
Mac-användare kan köra 52,9 på OS X Mavericks eller nyare, och nästan alla som använder en modern GNU / Linux-distribution bör kunna uppgradera eftersom det enda anmärkningsvärda beroendet är GTK + 3.4 eller högre. Dessa användare kanske upptäcker att den nya versionen finns i deras förråd snart nog.
Taggar webbsäkerhet
