Warto zaktulizować Thunderbirda – Mozilla załatała krytyczną lukę
Wielu obawiało się, że przyszłość Thunderbirda, który po zawirowaniach finalnie wrócił na łono Mozilli, stoi pod znakiem zapytania. Wygląda jednak na to, że Fundacja wcale nie traktuje klienta poczty po macoszemu – w ostatnim czasie zapowiedziano odpowiednik kwantowej rewolucji (poza nowym interfejsem migracja na WebExtension), a dziś udostępniono ważną aktualizację bezpieczeństwa.
Opublikowana aktualizacja łata pięć podatności, z czego jedna jest krytyczna, dwie wysokiego ryzyka, jedna umiarkowanie groźna i jedna niskiego priorytetu. Krytyczna luka to CVE-2017-7845, która występuje na instalacjach Thunderbirda na Windowsie. Umożliwia przepełnienie bufora podczas rysowania grafiki z wykorzystaniem Direct 3D 9 i bibliotek ANGLE. Tę samą lukę załatano w zeszłym tygodniu w Firefoksie.
Pozostałe zagrożenia (o wysokim priorytecie) występowały w czytniku RSS. Pierwsze z nich umożliwiało wykonanie skryptu JS podczas przeglądania artykułu w widoku oryginalnej strony, drugie umożliwiało uzyskanie informacji o sesji użytkownika za pomocą arkusza CSS: na podstawie danych o lokalizacji plików możliwe było uzyskanie informacji o nazwie użytkownika.
Najnowsza wersja Thunderbirda jest już dostępna, znajdziecie ją w naszej bazie oprogramowania. Szczegółowe informacje na jej temat wraz z opisami załatanych luk znaleźć można na stronach Fundacji Mozilla.
