Os desenvolvedores do Thunderbird corrigem falhas de segurança potencialmente críticas

Segurança / Os desenvolvedores do Thunderbird corrigem falhas de segurança potencialmente críticas 1 minuto lido

Fundação Mozilla

Com o lançamento do Thunderbird 52.9, os desenvolvedores foram capazes de corrigir uma série de falhas críticas de segurança e, portanto, os usuários estão sendo incentivados a atualizar para garantir que não entrem em conflito com nenhuma dessas vulnerabilidades. Uma vez que o Thunderbird desativa os scripts ao ler e-mails, geralmente não sofre com a maioria deles. No entanto, existem riscos potenciais em controles semelhantes aos de navegador que são preocupantes o suficiente para que a organização dedique muito tempo para garantir que nenhum desses problemas seja encontrado em estado selvagem.

Estouros de buffer são sempre algumas das vulnerabilidades mais preocupantes, e as explorações do erro # CVE-2018-12359 teriam contado com essa mesma técnica para assumir o controle do cliente de e-mail. Os overflows poderiam teoricamente acontecer ao renderizar módulos de tela quando a altura e a largura de um elemento de tela fossem movidas dinamicamente.



Se isso acontecer, os dados podem ser gravados fora dos limites normais da memória e podem permitir a execução arbitrária de códigos. ‘12359 foi corrigido na versão 52.9, o que provavelmente é motivo suficiente para a maioria dos usuários atualizar.



A outra vulnerabilidade importante, # CVE-2018-12360, pode ter ocorrido hipoteticamente quando um elemento de entrada foi excluído em determinados momentos. Isso geralmente teria que explorar o método usado por manipuladores de eventos de mutação que são acionados quando um elemento é focalizado.



Embora seja relativamente improvável que '12360 pudesse ter acontecido em estado selvagem, a possibilidade de execução de código arbitrário era alta o suficiente para que ninguém quisesse arriscar que algo acontecesse. Como resultado, esse erro também foi corrigido junto com um envolvendo elementos CSS e outro envolvendo um vazamento de texto simples de e-mails descriptografados.

Os usuários que desejam atualizar para a versão mais recente e, assim, aproveitar as vantagens dessas correções de bugs não terão que se preocupar muito com os requisitos do sistema. A versão do Windows funciona com instalações tão antigas quanto Windows XP e Windows Server 2003.

Os usuários do Mac podem executar o 52.9 no OS X Mavericks ou mais recente, e quase todos os que usam uma distribuição GNU / Linux moderna devem ser capazes de atualizar, pois a única dependência notável é GTK + 3.4 ou superior. Esses usuários podem descobrir que a nova versão estará em seus repositórios em breve.



Tag segurança na web 5 de setembro de 2018 1 minuto lido