Kritikus sebezhetőséget javítottak a Thunderbirdben
Két súlyos és egy csak Windows alatt megjelenő kritikus sebezhetőséget is foltoz a Thunderbird levelező frissítése.
Aki az elmúlt héten nem tette meg, érdemes haladéktalanul frissítenie a Thunderbirdöt, a Mozilla ugyanis levelezőjében több súlyos sebezhetőséget is foltozott. A vállalat biztonsági jelentése szerint a patch egy kritikus és két magas veszélyfokozatú bugot is befoltoz, egy közepes és egy alacsony kockázatú biztonsági rés mellett.
A felhasználókra a legkomolyabb veszélyt a CVE-2017-7845 kódnevű sebezhetőség jelenti. Egy puffertúlcsordulásos hibáról van szó, amely akkor bukkan fel, mikor a rendszer az ANGLE grafikus libraryt használva WebGL tartalmakhoz rajzol és validál különböző elemeket, Direct 3D 9-cel. A probléma az említett library egyik értékére vezethető vissza, amely az ellenőrzések során a támadók számára potenciálisan kihasználható összeomlásokat eredményez a levelezőben. A hiba csak a Windows rendszereket érinti, más platformokon szerencsére nincs jelen.
A lista a CVE-2017-7846-os buggal folytatódik: a sebezhetőség lehetővé teszi, hogy ha a felhasználó az RSS feedet weboldalként tekinti meg, az adott RSS-ben a támadó potenciálisan JavaScript kódot futtasson. Ez a hiba már nem Windows-exkluzív, javítása az összes platformon fontos. Ugyanez a helyzet a CVE-2017-7847 esetében is, amelyet a Mozilla ugyancsak a magas kockázatú sebezhetőségek közé sorol. A biztonsági rés lehetővé teszi, hogy egy speciálisan előkészített CSS segítségével egy RSS feedből illetéktelenek hozzáférjenek az adott számítógép egyes helyi fájlútvonalaihoz, abból pedig megszerezzék az aktuális felhasználónevet.
Ollé, lesz SYSADMINDAY! Duna melletti szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, szakmázás, barátok, még több sörcsap.
A negyedik sérülékenység szerencsére már csak "közepes" minősítést kapott: a CVE-2017-7848 ugyancsak az RSS-eknél bukkan fel, az RSS mezőkön keresztül ugyanis lehetőség van új sorokat beszúrni az emailekbe, módosítva a szövegtörzseket. Végül de nem utolsó sorban a cég egy alacsony kockázatú sebezhetőséget is orvosolt, a CVE-2017-7829 lehetővé teszi, hogy a valós küldő email címe helyett a támadók egy tetszőleges címet mutassanak a levél címzettje felé.
A Thunderbird levelező kezét egyébként a Mozilla évekkel ezelőtt elengedte volna, ugyanakkor a felhasználói közösség felhördülését hallva végül is megtartotta annak támogatását - igaz, a működés fenntartásához a felhasználói adományokra is szükség volt. A szoftver tavaly májusban, a Mozillán belül kezdett egyre inkább önállósodni, miután annak üzemeltetése a Thunderbird Council kezébe került - a Mozilla persze jogi és anyagi hátterével továbbra is ott van mögötte.