Mozilla kom i går med en ny versjon av e-postklienten Thunderbird. Den nye versjonen, 2.0.0.17, er en ren sikkerhetsoppdatering som lapper i alt åtte sikkerhetshull. Flere av disse krever riktignok at JavaScript er aktivert i programmet. Som standard er JavaScript deaktivert i Thunderbird og det frarådes å aktivere det.
I tillegg er to sårbarheter som ikke involverer JavaScript, blitt fjernet.
Den ene, som er blitt oppdaget av sikkerhetskonsulenten Georgi Guninski, skyldes en overflytsfeil i en buffer i forbindelsen med håndteringen av kansellerte meldinger i nyhetsgrupper. Dette kan potensielt utnyttes til å kjøre vilkårlig kode. Overflytsfeilen skyldtes at heap-bufferen som ble allokert for å lagre headerinformasjon for meldinger, var for liten.
Den andre av de mest alvorlige sårbarhetene ble rapportert av flere IBM-ansatte. En spesielt sammensatt UTF-8 URL i en hyperlenke kan utnytte feil i URL-tolkningsrutinene i Thunderbird. Dette kan føre til en stack-basert bufferoverflytsfeil og åpne for kjøring av vilkårlig kode.
Flere av sårbarhetene som nå er fjernet fra Thunderbird, ble tidligere i uken fjernet fra Firefox 2 og 3.
Les også:
- [24.09.2008] Sikrere og mer stabil Firefox
Thunderbird 2.0.0.17 kan lastes ned fra denne siden.
