Sikkerhetsfiks til Thunderbird

Mozilla kom i går med en ny versjon av e-postklienten Thunderbird. Den nye versjonen, 2.0.0.17, er en ren sikkerhetsoppdatering som lapper i alt åtte sikkerhetshull. Flere av disse krever riktignok at JavaScript er aktivert i programmet. Som standard er JavaScript deaktivert i Thunderbird og det frarådes å aktivere det.

I tillegg er to sårbarheter som ikke involverer JavaScript, blitt fjernet.

Den ene, som er blitt oppdaget av sikkerhetskonsulenten Georgi Guninski, skyldes en overflytsfeil i en buffer i forbindelsen med håndteringen av kansellerte meldinger i nyhetsgrupper. Dette kan potensielt utnyttes til å kjøre vilkårlig kode. Overflytsfeilen skyldtes at heap-bufferen som ble allokert for å lagre headerinformasjon for meldinger, var for liten.

Den andre av de mest alvorlige sårbarhetene ble rapportert av flere IBM-ansatte. En spesielt sammensatt UTF-8 URL i en hyperlenke kan utnytte feil i URL-tolkningsrutinene i Thunderbird. Dette kan føre til en stack-basert bufferoverflytsfeil og åpne for kjøring av vilkårlig kode.

Flere av sårbarhetene som nå er fjernet fra Thunderbird, ble tidligere i uken fjernet fra Firefox 2 og 3.

    Les også:

Thunderbird 2.0.0.17 kan lastes ned fra denne siden.

Til toppen