Разработчиците на Thunderbird коригират потенциално критични недостатъци в сигурността

Фондация Mozilla

С пускането на Thunderbird 52.9 разработчиците успяха да отстранят редица критични недостатъци в сигурността и поради това потребителите се приканват да надстроят, за да гарантират, че няма да попаднат в нарушение на никоя от тези уязвимости. Тъй като Thunderbird деактивира скриптовете, когато чете поща, обикновено не може да страда от повечето от тях. Съществуват обаче потенциални рискове в подобни на браузъра контроли, които са достатъчно притеснителни, че организацията е отделила много време, за да се увери, че нито един от тези проблеми не може да бъде намерен в дивата природа.

Препълванията на буфери винаги са едни от най-засягащите уязвимости и експлоатите на грешка # CVE-2018-12359 биха разчитали точно на тази техника, за да поемат контрола върху имейл клиента. Теоретично може да се случи препълване при изобразяване на модули на платно, когато височината и ширината на елемент на платно са били преместени динамично.

Ако това се случи, тогава данните могат да бъдат записани извън нормалните граници на паметта и могат да позволят произволно изпълнение на код. „12359 е фиксиран във версия 52.9, което вероятно е достатъчна причина за повечето потребители да надстроят.

Другата основна уязвимост, # CVE-2018-12360, може да е възникнала хипотетично, когато даден елемент е бил изтрит в определени моменти. Това обикновено би трябвало да използва метода, използван от манипулаторите на мутационни събития, които се задействат, когато един елемент е фокусиран.

Въпреки че е сравнително малко вероятно „12360 да е могъл да се случи в природата, възможността за произволно изпълнение на код беше достатъчно голяма, че никой не искаше да рискува нещо да се случи. В резултат на това тази грешка също беше закърпена заедно с една, включваща CSS елементи, и друга, включваща изтичане на открит текст от дешифрирани имейли.

Потребителите, които искат да надстроят до най-новата версия и по този начин да се възползват от тези корекции на грешки, няма да се притесняват много за системните изисквания. Версията на Windows работи с инсталации, стари като Windows XP и Windows Server 2003.

Потребителите на Mac могат да работят с 52.9 на OS X Mavericks или по-нови версии и почти всеки, който използва модерна GNU / Linux дистрибуция, трябва да може да надгражда, тъй като единствената забележима зависимост е GTK + 3.4 или по-нова. Тези потребители може да открият, че новата версия така или иначе е достатъчно скоро в техните хранилища.