Mozilla выпустила новую сборку почтового клиента Thunderbird, устранив семь уязвимостей. Одна из них оценена как критическая, две — как высоко опасные; все три были недавно пропатчены в Firefox.

По словам разработчика, ни одну из новых уязвимостей нельзя эксплуатировать через email, так как Thunderbird блокирует выполнение сценариев при чтении писем. Потенциальные риски создает лишь контекст браузера или аналогичных приложений.

Критическая уязвимость CVE-2018-12376, согласно бюллетеню, вызвана возможностью нарушения целостности памяти. Эту ситуацию в принципе можно использовать для выполнения произвольного кода.

Обе бреши высокой степени опасности (CVE-2018-12377 и CVE-2018-12378) относятся к типу use-after-free (использование освобожденной памяти) и грозят сбоем программы. Первая связана с функциональностью автообновления страниц в браузере; ее эксплойт возможен в тех случаях, когда таймер сбрасывается в момент закрытия браузера. Уязвимость CVE-2018-12378 проявляется при удалении индекса IndexedDB во время его использования JavaScript-кодом, генерирующим значения полезной нагрузки в ходе операции записи.

Умеренно опасная CVE-2018-12379 грозит крэшем в случае появления ошибки записи за пределами выделенного в памяти буфера. Такая ситуация может возникнуть при распаковке файла в формате MAR в программе обновлений Mozilla.

Уязвимость CVE-2017-16541 (обход настроек прокси) проявляется при обработке URI-ссылок вида file:// и может повлечь утечку реальных IP-адресов. Согласно Mozilla, проблема актуальна лишь для macOS в дефолтной конфигурации. На Linux эксплойт возможен лишь при наличии пакета autofs, позволяющего автоматически подключать и отключать разнообразные ресурсы. Windows данная уязвимость не затрагивает. К слову, в браузере Tor этот недочет исправили в ноябре прошлого года.

Брешь CVE-2018-12385, тоже признанная умеренно опасной, связана с функцией TransportSecurityInfo; ее причиной является неадекватность проверки данных, локально кэшируемых в профиле пользователя. Согласно бюллетеню, этот недочет можно использовать лишь в комбинации с другой уязвимостью, позволяющей записать данные в кэш — к примеру, с помощью заранее внедренного зловреда. Наличие CVE-2018-12385 также грозит отказом при смене версий Firefox с Nightly на Release (или наоборот) в рамках одного и того же профиля.

Последняя уязвимость, CVE-2018-12383, позволяет при наличии мастер-пароля получить доступ к незашифрованным паролям, сохраненным в Firefox версий ниже 58. Эксплойт возможен лишь в том случае, если мастер-пароль был создан после установки Firefox 58. Дело в том, что при обновлении браузера все прежде сохраненные данные были скопированы и переведены в новый формат — включая файл с паролями, который не был удален. Поскольку мастер-пароль добавляется лишь в заново созданный файл, перенесенные данные остались без защиты. Как ни странно, степень опасности этой бреши в Mozilla оценили как низкую.

Для устранения новых проблем в почтовом клиенте пользователям рекомендуется произвести обновление до Thunderbird 60.2.1.

Категории: Уязвимости