Kritikus sebezhetőséget javítottak a Thunderbirdben
Két súlyos és egy csak Windows alatt megjelenő kritikus sebezhetőséget is foltoz a Thunderbird levelező frissítése.
Aki az elmúlt héten nem tette meg, érdemes haladéktalanul frissítenie a Thunderbirdöt, a Mozilla ugyanis levelezőjében több súlyos sebezhetőséget is foltozott. A vállalat biztonsági jelentése szerint a patch egy kritikus és két magas veszélyfokozatú bugot is befoltoz, egy közepes és egy alacsony kockázatú biztonsági rés mellett.
A felhasználókra a legkomolyabb veszélyt a CVE-2017-7845 kódnevű sebezhetőség jelenti. Egy puffertúlcsordulásos hibáról van szó, amely akkor bukkan fel, mikor a rendszer az ANGLE grafikus libraryt használva WebGL tartalmakhoz rajzol és validál különböző elemeket, Direct 3D 9-cel. A probléma az említett library egyik értékére vezethető vissza, amely az ellenőrzések során a támadók számára potenciálisan kihasználható összeomlásokat eredményez a levelezőben. A hiba csak a Windows rendszereket érinti, más platformokon szerencsére nincs jelen.
A lista a CVE-2017-7846-os buggal folytatódik: a sebezhetőség lehetővé teszi, hogy ha a felhasználó az RSS feedet weboldalként tekinti meg, az adott RSS-ben a támadó potenciálisan JavaScript kódot futtasson. Ez a hiba már nem Windows-exkluzív, javítása az összes platformon fontos. Ugyanez a helyzet a CVE-2017-7847 esetében is, amelyet a Mozilla ugyancsak a magas kockázatú sebezhetőségek közé sorol. A biztonsági rés lehetővé teszi, hogy egy speciálisan előkészített CSS segítségével egy RSS feedből illetéktelenek hozzáférjenek az adott számítógép egyes helyi fájlútvonalaihoz, abból pedig megszerezzék az aktuális felhasználónevet.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A negyedik sérülékenység szerencsére már csak "közepes" minősítést kapott: a CVE-2017-7848 ugyancsak az RSS-eknél bukkan fel, az RSS mezőkön keresztül ugyanis lehetőség van új sorokat beszúrni az emailekbe, módosítva a szövegtörzseket. Végül de nem utolsó sorban a cég egy alacsony kockázatú sebezhetőséget is orvosolt, a CVE-2017-7829 lehetővé teszi, hogy a valós küldő email címe helyett a támadók egy tetszőleges címet mutassanak a levél címzettje felé.
A Thunderbird levelező kezét egyébként a Mozilla évekkel ezelőtt elengedte volna, ugyanakkor a felhasználói közösség felhördülését hallva végül is megtartotta annak támogatását - igaz, a működés fenntartásához a felhasználói adományokra is szükség volt. A szoftver tavaly májusban, a Mozillán belül kezdett egyre inkább önállósodni, miután annak üzemeltetése a Thunderbird Council kezébe került - a Mozilla persze jogi és anyagi hátterével továbbra is ott van mögötte.