Специалисты устранили критические ошибки в Thunderbird 52.9

В новой версии Thunderbird 52.9 разработчики исправили более десятка крупных уязвимостей, в том числе Efail. Устранённые проблемы касаются почтовых клиентов Thunderbird, Outlook, Apple Mail и PGP-плагинов Enigmail, Gpg4win и GPG Tools.

Детали обновления

Для использования уязвимостей злоумышленникам требовалось сначала получить доступ к почтовому ящику жертвы, взломав чужой аккаунт или перехватив трафик с помощью атаки man-in-the-middle.

Уязвимость Efail подразумевает использование зашифрованных писем для совершения кибератак. Хакер может снабдить их HTML-тегами и заставить отправителя открыть вредоносное послание. Работа ошибки напрямую связана со способом обработки внешних URL-ссылок почтовыми клиентами и их плагинами.

После двухмесячного бета-тестирования разработчики представили сразу два патча для устранения проблемы. Пользователям стали доступны дополнения для CVE-2018-12372, позволяющие защититься от атаки посредством манипуляций с HTML-сообщениями, и для CVE-2018-12373, устранившие уязвимость, из-за которой S/MIME контент мог «утечь» в формате простого текста после пересылки письма.

Также специалисты выпустили патчи для других ошибок в работе Thunderbird. Дополнение к CVE-2018-12359 позволило минимизировать переполнение буфера, а патч для CVE-2018-12360 предоставляет решение use-after-free уязвимости.

Напомним, что в мае 2018 года группа европейских исследователей, под начальством профессора Университета прикладных наук в Мюнстере Себастьяна Шинцеля, обнародовала подробности, касающиеся уязвимости в PGP и S/MIME.