Η Mozilla κυκλοφόρησε το Thunderbird 91.3 για να διορθώσει πολλά τρωτά σημεία που έχουν υψηλό αντίκτυπο και μπορούν να προκαλέσουν άρνηση υπηρεσίας, να παραπλανήσουν σχετικά με την προέλευση, να παρακάμψουν τις πολιτικές ασφαλείας και να επιτρέψουν την αυθαίρετη εκτέλεση κώδικα.
Δείτε επίσης: Mozilla: Αποκλείει κακόβουλα πρόσθετα που εγκαταστάθηκαν 455.000 φορές
Η ενεργοποίηση των περισσότερων σφαλμάτων που ανακαλύφθηκαν πρόσφατα απαιτεί από τον χρήστη να ανοίξει έναν ειδικά διαμορφωμένο ιστότοπο σε ένα πλαίσιο περιήγησης, επομένως η εκμετάλλευση είναι σχετικά απλή.
Το Mozilla Thunderbird 91.3 διορθώνει δέκα ελαττώματα που ανακαλύφθηκαν από διάφορους ερευνητές και καλύπτουν ένα ευρύ φάσμα λειτουργιών του προγράμματος-client email.
CVE-2021-38503: Περιορισμοί παράκαμψης iframe που επιτρέπουν την εκτέλεση σεναρίου.
CVE-2021-38504: User-after-free στο παράθυρο διαλόγου επιλογής αρχείων, που οδηγεί σε καταστροφή της μνήμης και σε ενδεχόμενο εκμεταλλεύσιμο σφάλμα.
CVE-2021-38505: Καταγραφή ευαίσθητων δεδομένων στο Πρόχειρο των Windows 10 Cloud, αντιγραφή ευαίσθητων δεδομένων χρήστη στον λογαριασμό Microsoft του χρήστη, αυξάνοντας τον κίνδυνο αποκάλυψης πληροφοριών.
CVE-2021-38506: Εξαναγκασμός του Thunderbird να μεταβεί σε λειτουργία πλήρους οθόνης χωρίς αλληλεπίδραση με τον χρήστη, δημιουργώντας το έδαφος για πλαστογράφηση διεπαφής χρήστη και επιθέσεις phishing.
CVE-2021-38507: Παρακάμψτε την «Πολιτική ίδιας προέλευσης» εκμεταλλευόμενοι τη δυνατότητα Ευκαιριακής Κρυπτογράφησης.
CVE-2021-38508: Δυνατότητα επικάλυψης της Προτροπής άδειας για να εξαπατηθεί ο χρήστης ώστε να παραχωρήσει οποιαδήποτε άδεια.
CVE-2021-38509: Παραπλάνηση του διαλόγου ειδοποίησης JavaScript () με αυθαίρετο περιεχόμενο.
CVE-2021-38510: Παράκαμψη «Προστασίας λήψης» σε αρχεία .inetloc, επιτρέποντας την εκτέλεση κώδικα σε macOS.
Δείτε ακόμα: Οι ερευνητές της Microsoft ανακάλυψαν ένα ελάττωμα στο macOS!
MOZ-2021-0008: Use-after-free στο αντικείμενο συνεδρίας HTTP2, που οδηγεί σε καταστροφή της μνήμης και πιθανώς σε εκμεταλλεύσιμο σφάλμα.
MOZ-2021-0007: Σφάλματα μνήμης που μπορεί να οδηγήσουν σε αυθαίρετη εκτέλεση κώδικα.
Ένα θέμα ευπάθειας που χαρακτηρίστηκε ως CVE-2021-38505 παρουσιάζει ιδιαίτερο ενδιαφέρον καθώς σχετίζεται με το Πρόχειρο των Windows 10 Cloud.
Η λειτουργία Cloud Clipboard των Windows 10 εισήχθη το 2018 και, εάν είναι ενεργοποιημένη, θα συγχρονίσει τα δεδομένα που αντιγράφετε στο πρόχειρο στο cloud, ώστε να είναι διαθέσιμη σε άλλες συσκευές που έχετε λογαριασμό.
Για να αποτρέψει τον συγχρονισμό ευαίσθητων δεδομένων με το cloud, η Microsoft εισήγαγε συγκεκριμένες μορφές προχείρου που τα Windows δεν θα αντιγράφουν στο cloud. Ωστόσο, οι Thunderbird και Mozilla δεν χρησιμοποίησαν αυτές τις μορφές, επιτρέποντας ενδεχομένως τον συγχρονισμό ευαίσθητων δεδομένων.
Δείτε επίσης: Windows: Όλες οι εκδόσεις επηρεάζονται από ευπάθεια zero-day LPE
Λόγω της σοβαρότητας των παραπάνω ελαττωμάτων, η αναβάθμιση του δημοφιλούς προγράμματος-client email στην έκδοση 91.3 ή μεταγενέστερη θα πρέπει να γίνει το συντομότερο δυνατό.
Για άμεση αναβάθμιση στην πιο πρόσφατη έκδοση, ανοίξτε το Thunderbird, κάντε κλικ στο μενού της εφαρμογής και επιλέξτε Βοήθεια > Σχετικά με το Thunderbird. Από εκεί, θα σας προσφερθεί η επιλογή λήψης και εγκατάστασης της πιο πρόσφατης διαθέσιμης έκδοσης.
