Mens Mozilla i blant ikke lar det gå mer enn en uke fra en ny sårbarhet har blitt oppdaget til den er fjernet fra Firefox, er situasjonen ikke like god for e-postprogrammet Thunderbird, som også er basert på presentasjonsmotoren Gecko, bare en eldre utgave enn den som brukes i Firefox 3. Svært ofte går det måneder fra sårbarheter oppdages og fjernes i Firefox til det kommer en tilsvarende sikkerhetsfiks til Thunderbird.

Noe av årsaken til dette er at de fleste av sårbarhetene som for tiden oppdages, er avhengige av aktiv JavaScript-støtte i klienten. I utgangspunktet er denne støtten deaktivert i Thunderbird, men det er fullt mulig for brukerne å skru på støtten, selv om dette frarådes.

I går kom Mozilla omsider med en ny versjon av Thunderbird, nærmere bestemt versjon 2.0.22, som er den første utgivelsen av e-postklienten siden mars i år.

Mozilla har fjernet sårbarheter som er oppgitt i til sammen seks ulike sikkerhetsveiledninger på denne siden. Kun én av disse anses av stiftelsen selv for å ha høy alvorlighetsgrad. Det gjelder en feil som har kunnet forårsake krasj ved visning av multipart/alternative-meldinger med en text/enhanced-del. Mozilla mener at det kan være mulig å utnytte disse krasjtilfellene til for eksempel å kjøre vilkårlig kode.

Oppdateringen til Thunderbird kan lastes ned fra denne siden.

Mozilla Messaging, som er navnet på den delen av virksomheten som utgir Thunderbird, har lenge jobbet med en helt ny versjon av e-postklienten, Thunderbird 3. Den andre betaversjonen til Thunderbird 3 ble gitt ut i mars i år. Minst ytterligere to betaversjoner er planlagt, men det har ikke blitt oppgitt noen dato for når disse skal komme.

Mozilla Messaging har tidligere sagt at planen er å utgi Thunderbird 3, men stiftelsen er også nøye med å si at Mozilla-produktene ikke blir lansert før de er faktisk klare for dette.