Mozilla Foundation
Med udgivelsen af Thunderbird 52.9 har udviklere været i stand til at løse en række kritiske sikkerhedsfejl, og derfor opfordres brugerne til at opgradere for at sikre, at de ikke kommer i bero med nogen af disse sårbarheder. Da Thunderbird deaktiverer scripting, når man læser mail, kan det normalt ikke lide under de fleste af disse. Imidlertid er der potentielle risici i browserlignende kontroller, der er bekymrende nok til, at organisationen afsatte meget tid til at sikre, at ingen af disse problemer kunne blive fundet i naturen.
Bufferoverløb er altid noget af det mest vedrører sårbarheder, og udnyttelse af fejl # CVE-2018-12359 ville have været afhængig af netop denne teknik til at få kontrol over e-mail-klienten. Overløb kan teoretisk ske, når rendering af lærredmoduler, når højden og bredden af et lærredselement flyttes dynamisk.
Hvis dette skete, kunne data skrives uden for normale hukommelsesgrænser og muligvis muliggøre vilkårlig kodeudførelse. ‘12359 er blevet rettet i version 52.9, hvilket sandsynligvis er grund nok for de fleste brugere til at opgradere.
Den anden store sårbarhed, # CVE-2018-12360, kunne hypotetisk have fundet sted, da et inputelement blev slettet på bestemte tidspunkter. Dette ville normalt have været nødt til at udnytte metoden brugt af mutationshændelseshåndterere, der bliver udløst, når et element er fokuseret.
Selvom det er relativt usandsynligt, at '12360 kunne have fundet sted i naturen, var muligheden for vilkårlig kodekørsel høj nok til, at ingen ville risikere, at der skulle ske noget. Som et resultat er denne fejl også patchet sammen med en, der involverer CSS-elementer, og en anden, der involverer en almindelig tekstlækage fra dekrypterede e-mails.
Brugere, der ønsker at opgradere til den nyeste version og dermed drage fordel af disse fejlrettelser, behøver ikke bekymre sig om meget i vejen for systemkrav. Windows-versionen fungerer med så gamle installationer som Windows XP og Windows Server 2003.
Mac-brugere kan køre 52.9 på OS X Mavericks eller nyere, og næsten alle, der bruger en moderne GNU / Linux-distribution, skal kunne opgradere, da den eneste bemærkelsesværdige afhængighed er GTK + 3.4 eller højere. Disse brugere kan muligvis hurtigt finde ud af, at den nye version er i deres opbevaringssteder.
Mærker websikkerhed
