Фонд Mozilla
С выпуском Thunderbird 52.9 разработчики смогли исправить ряд критических недостатков безопасности, поэтому пользователям настоятельно рекомендуется выполнить обновление, чтобы гарантировать, что они не столкнутся с какой-либо из этих уязвимостей. Поскольку Thunderbird отключает сценарии при чтении почты, обычно он не страдает от большинства из них. Однако в средствах управления, подобных браузеру, есть потенциальные риски, которые вызывают беспокойство настолько, что организация уделила много времени тому, чтобы ни одна из этих проблем не могла быть обнаружена в реальной жизни.
Переполнение буфера всегда является одной из наиболее серьезных уязвимостей, и эксплойты ошибки # CVE-2018-12359 использовали бы именно этот метод для захвата контроля над почтовым клиентом. Переполнение теоретически могло произойти при рендеринге модулей холста, когда высота и ширина элемента холста динамически перемещались.
Если это произойдет, данные могут быть записаны за пределами обычных границ памяти и могут позволить выполнение произвольного кода. «12359 был исправлен в версии 52.9, что, вероятно, является достаточной причиной для обновления большинства пользователей.
Другая серьезная уязвимость, # CVE-2018-12360, гипотетически могла возникнуть при удалении элемента ввода в определенное время. Обычно для этого приходилось использовать метод, используемый обработчиками событий мутации, которые срабатывают, когда фокусируется один элемент.
Хотя относительно маловероятно, что «12360» могло произойти «в дикой природе», вероятность выполнения произвольного кода была достаточно высока, чтобы никто не хотел рисковать, что что-то произойдет. В результате эта ошибка также была исправлена вместе с одной, связанной с элементами CSS, и другой, связанной с утечкой открытого текста из расшифрованных электронных писем.
Пользователи, которые хотят перейти на последнюю версию и, таким образом, воспользоваться этими исправлениями, не должны беспокоиться о системных требованиях. Версия для Windows работает с такими же старыми установками, как Windows XP и Windows Server 2003.
Пользователи Mac могут запускать 52.9 на OS X Mavericks или новее, и почти каждый, кто использует современный дистрибутив GNU / Linux, должен иметь возможность обновиться, поскольку единственная заметная зависимость - GTK + 3.4 или выше. Эти пользователи в любом случае могут обнаружить, что новая версия уже скоро появится в их репозиториях.
Теги веб-безопасность
