Fundacija Mozilla
Z izdajo Thunderbirda 52.9 so razvijalci lahko odpravili številne kritične varnostne pomanjkljivosti, zato uporabnike pozivajo, naj nadgradijo, da se ne bi zataknili nobene od teh ranljivosti. Ker Thunderbird pri branju pošte onemogoča skriptiranje, večina teh ponavadi ne more trpeti. Vendar pa obstajajo potencialna tveganja v nadzoru, podobnem brskalnikom, ki so dovolj zaskrbljujoča, da je organizacija posvetila veliko časa temu, da nobene od teh težav ni mogoče najti v naravi.
Prelivanje medpomnilnika je vedno nekaj bolj ranljivega, izkoriščanje napake # CVE-2018-12359 pa bi se oprlo ravno na to tehniko, da bi prevzelo nadzor nad e-poštnim odjemalcem. Teoretično bi se lahko zgodilo pri upodabljanju modulov platna, ko sta se višina in širina elementa platna dinamično premikali.
Če bi se to zgodilo, bi lahko podatke zapisali zunaj običajnih pomnilniških meja in lahko omogočili poljubno izvajanje kode. ‘12359 je bil popravljen v različici 52.9, kar je verjetno zadosten razlog za večino uporabnikov za nadgradnjo.
Druga večja ranljivost, # CVE-2018-12360, bi se lahko hipotetično pojavila, ko bi bil vhodni element ob določenem času izbrisan. To bi običajno moralo izkoristiti metodo, ki jo uporabljajo upravljavci mutacijskih dogodkov, ki se sprožijo, ko je en element osredotočen.
Čeprav je malo verjetno, da bi se v naravi lahko zgodilo '12360, je bila možnost samovoljne izvedbe kode dovolj velika, da nihče ni hotel tvegati, da se kaj zgodi. Posledično je bila tudi ta napaka popravljena skupaj z eno, ki vključuje elemente CSS, in drugo, ki vključuje uhajanje odprtega besedila iz dešifriranih e-poštnih sporočil.
Uporabnikom, ki želijo nadgraditi na najnovejšo različico in tako izkoristiti te popravke napak, ne bo treba veliko skrbeti glede sistemskih zahtev. Različica Windows deluje z namestitvami, ki so stare kot Windows XP in Windows Server 2003.
Uporabniki Maca lahko poganjajo 52.9 v OS X Mavericks ali novejši, skoraj vsi, ki uporabljajo sodobno distribucijo GNU / Linux, pa bi morali imeti možnost nadgradnje, saj je edina opazna odvisnost GTK + 3.4 ali novejša. Ti uporabniki bodo morda že kmalu ugotovili, da je nova različica v njihovih skladiščih.
Oznake spletna varnost
