Вышел Thunderbird 52.5.2 с патчами
Разработчики из Mozilla устранили в Thunderbird пять уязвимостей, в том числе одну критическую. Соответствующие патчи включены в состав новой сборки популярного почтового клиента — 52.5.2.
Брешь CVE-2017-7845, оцененная как критическая, связана с переполнением буфера при работе графической библиотеки ANGLE (поддерживающей контент WebGL) с использованием набора API-функций Direct 3D 9. В бюллетене сказано, что ошибка переполнения буфера возникает, когда в ходе проверки создаваемых элементов функциям ANGLE передается некорректное значение, что может привести к «потенциально эксплуатируемому крэшу». Данная проблема актуальна лишь для Windows, остальные операционные системы она не затрагивает.
Уязвимость CVE-2017-7846 высокой степени опасности открывает возможность для выполнения JavaScript-сценария при просмотре новостных лент RSS в формате веб-сайта или в дефолтном виде.
В равной степени опасна CVE-2017-7847, грозящая утечкой из RSS-фида строк локальных путей, которые могут содержать имя пользователя. Эксплойт в данном случае осуществляется путем внедрения в RSS-ленту особых элементов CSS.
Умеренно опасная CVE-2017-7848 позволяет, используя поля RSS, внедрять новые строки в создаваемую email-структуру и таким образом модифицировать тело письма.
CVE-2017-7829 была обнаружена исследователем Сабри Хаддушем (Sabri Haddouche) во многих почтовых клиентах, как и ряд других уязвимостей, которые он объединил под общим названием Mailsploit. Согласно описанию Mozilla, эта брешь позволяет подменить адрес отправителя и скрыть от получателя реальный, проставив перед ним нуль-символ в строке для отображения. Этой уязвимости разработчик присвоил низкую степень опасности.
Стоит также отметить, что сегодня на Bleeping Computer появилась запись о дальнейших планах Mozilla в отношении Thunderbird. По словам репортера, этот проект был совсем заброшен в 2012 году, однако впоследствии его решили реанимировать и в итоге оформили как самостоятельное предприятие с собственным доменом thunderbird.net.
Теперь Mozilla надумала модернизировать кодовую базу Thunderbird, добавив новый пользовательский интерфейс Photon UI, введенный в строй с выпуском Firefox 57 в середине прошлого месяца. Разработчик также планирует упразднить устаревшую систему аддонов, встраиваемых в API XUL и XPCOM, и взамен ввести поддержку технологии WebExtensions.