Создатели почтового клиента Mozilla Thunderbird выпустили очередную версию продукта, устранив серию опасных ошибок, допущенных при интеграции с программой iCal. Среди закрытых багов — три особо серьезных: они открывали широкий доступ к компьютеру жертвы через переполнение буфера.

Как пояснили эксперты некоммерческой организации Center for Internet Security, обнаруженные уязвимости представляют особую опасность для крупных предприятий и государственных организаций. Злоумышленники могли их использовать, чтобы устанавливать сторонние программы, манипулировать данными или создавать на компьютере новые учетные записи с полным набором привилегий. Угроза несколько снижается, если жертва управляет аккаунтом без прав администратора.

В каждом случае ошибку можно вызвать с помощью специального электронного письма — проблемы возникают, когда клиент интерпретирует код сообщения.

Уязвимости CVE-2019-11703 и CVE-2019-11704 связаны с переполнением буфера кучи (heap buffer overflow), CVE-2019-11705 — с переполнением буфера стека (stack buffer overflow). Последний баг в списке, CVE-2019-11706, вызван ошибкой путаницы типов данных (type confusion); степень его опасности оценена как низкая.

Пользователям рекомендуют как можно скорее установить безопасную версию Thinderbird 60.7.1 и ограничить число пользователей с правами администратора.

Ранее разработчики Mozilla обновили браузер Firefox, устранив в нем 21 угрозу безопасности. Пользователи также получили возможность автоматически блокировать криптомайнеры и трекеры онлайн-активности.

Категории: Кибероборона, Уязвимости