Всем, кто использует Thunderbird для работы с почтой, стоит убедиться, что у них установлена актуальная на данный момент версия почтового клиента (52.5.2). В этом релизе разработчики устранили сразу пять серьезных уязвимостей.
CVE-2017-7845 — проблема получила статус критической, затрагивает всех пользователей Windows и связана с переполнением буфера. Уязвимость проявляется в ходе отрисовки и валидации элементов, использующих Direct 3D 9 и библиотеку ANGLE, что применяется для WebGL-контента.
CVE-2017-7846 и CVE-2017-784 — обе уязвимости оцениваются как высокоопасные. Первая проблема представляет собой баг в RSS-ридере и может быть использована посредством JavaScript. Вторая проблема — это CSS-баг, который в теории позволяет атакующему узнать данные о пользователе, когда тот просматривает RSS-ленту.
Также с RSS связана и уязвимость CVE-2017-7848, которую сочти умеренно опасной. Брешь позволяет осуществить инъекцию новых символов (через RSS-записи) в структуру email-сообщения, в результате чего тело сообщения изменится.
Наименее опасной из всех пяти уязвимостей является CVE-2017-7829. Это исправление для обнаруженной недавно проблемы MailSploit. Баг позволяет подделать адрес отправителя, подменив его другим.
Но помимо патчей из стана разработчиков Thunderbird пришли и интересные новости. Представители Mozilla рассказали, что собираются модернизировать кодовую базу проекта, в том числе, распространить изменения, недавно произошедшие в движке Mozilla, на почтовый клиент. В частности это означает, что Thunderbird будет переведен на новый пользовательский интерфейс Photon UI, который уже был представлен в составе Firefox 57.
Также представители Mozilla сообщили, что уже ищут разработчиков для расширения команды, собираясь не только раздать с их помощью некие «технические долги», но также перевести кодовую базу проекта со смеси C++, JavaScript, XUL и XPCOM на веб-технологии, где веб-API будут играть более значительную роль. Также инженеры уже работают над добавлением поддержки WebExtensions в Thunderbird, хотя точные сроки завершения этого проекта и прекращения поддержки старых аддонов пока неизвестны.
Читайте также
Последние новости