Mellékleteink: HUP | Gamekapocs
Keres

Kritikus sebezhetőséget javítottak a Thunderbirdben

Hlács Ferenc, 2018. január 03. 11:57

Két súlyos és egy csak Windows alatt megjelenő kritikus sebezhetőséget is foltoz a Thunderbird levelező frissítése.

Aki az elmúlt héten nem tette meg, érdemes haladéktalanul frissítenie a Thunderbirdöt, a Mozilla ugyanis levelezőjében több súlyos sebezhetőséget is foltozott. A vállalat biztonsági jelentése szerint a patch egy kritikus és két magas veszélyfokozatú bugot is befoltoz, egy közepes és egy alacsony kockázatú biztonsági rés mellett.

A felhasználókra a legkomolyabb veszélyt a CVE-2017-7845 kódnevű sebezhetőség jelenti. Egy puffertúlcsordulásos hibáról van szó, amely akkor bukkan fel, mikor a rendszer az ANGLE grafikus libraryt használva WebGL tartalmakhoz rajzol és validál különböző elemeket, Direct 3D 9-cel. A probléma az említett library egyik értékére vezethető vissza, amely az ellenőrzések során a támadók számára potenciálisan kihasználható összeomlásokat eredményez a levelezőben. A hiba csak a Windows rendszereket érinti, más platformokon szerencsére nincs jelen.

A lista a CVE-2017-7846-os buggal folytatódik: a sebezhetőség lehetővé teszi, hogy ha a felhasználó az RSS feedet weboldalként tekinti meg, az adott RSS-ben a támadó potenciálisan JavaScript kódot futtasson. Ez a hiba már nem Windows-exkluzív, javítása az összes platformon fontos. Ugyanez a helyzet a CVE-2017-7847 esetében is, amelyet a Mozilla ugyancsak a magas kockázatú sebezhetőségek közé sorol. A biztonsági rés lehetővé teszi, hogy egy speciálisan előkészített CSS segítségével egy RSS feedből illetéktelenek hozzáférjenek az adott számítógép egyes helyi fájlútvonalaihoz, abból pedig megszerezzék az aktuális felhasználónevet.

A negyedik sérülékenység szerencsére már csak "közepes" minősítést kapott: a CVE-2017-7848 ugyancsak az RSS-eknél bukkan fel, az RSS mezőkön keresztül ugyanis lehetőség van új sorokat beszúrni az emailekbe, módosítva a szövegtörzseket. Végül de nem utolsó sorban a cég egy alacsony kockázatú sebezhetőséget is orvosolt, a CVE-2017-7829 lehetővé teszi, hogy a valós küldő email címe helyett a támadók egy tetszőleges címet mutassanak a levél címzettje felé.

A Thunderbird levelező kezét egyébként a Mozilla évekkel ezelőtt elengedte volna, ugyanakkor a felhasználói közösség felhördülését hallva végül is megtartotta annak támogatását - igaz, a működés fenntartásához a felhasználói adományokra is szükség volt. A szoftver tavaly májusban, a Mozillán belül kezdett egyre inkább önállósodni, miután annak üzemeltetése a Thunderbird Council kezébe került - a Mozilla persze jogi és anyagi hátterével továbbra is ott van mögötte.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A legnagyobb hazai termékfejlesztési konferencia november 21-22-én visszatér: 90 előadó, 1000 látogató, dedikált workshop nap, 6 szekció a UX-től az IoT-n át, egészen az AI-ig.