Mozilla исправила критическую уязвимость в Thunderbird

[душман]

Компания Mozilla выпустила версию Thunderbird 60.2.1, устраняющую ряд уязвимостей в почтовом клиенте, в том числе одну критическую. Проблема связана с повреждением памяти и может быть использована для удаленного выполнения кода.

В общей сложности разработчики исправили 7 уязвимостей - 1 критическую (CVE-2018-12376), 2 опасных проблемы (CVE-2018-12377, CVE-2018-12378), 3 средней степени опасности и 1 низкого уровня опасности (CVE-2018-12383).

Вышеперечисленные уязвимости, кроме критической, могут привести к сбою в работе приложения. Примечательно, компания расценила как незначительную уязвимость, позволяющую пользователям с легкостью получить доступ к незашифрованным паролям. Кроме того, она связана с браузером Firefox, а не клиентом Thunderbird.

«Если пользователь сохраняет пароли в версии Firefox до Firefox 58, а затем устанавливает мастер-пароль, незашифрованные копии паролей по-прежнему доступны. Проблема связана с тем, что старый файл с паролями не удаляется при переносе данных в новый формат, представленный в Firefox 58.

Новый мастер-пароль добавляется только в новый файл, что может привести к раскрытию хранимых паролей», - пояснили инженеры Mozilla. Пользователям Mozilla Thunderbird настоятельно рекомендуется обновиться до новой версии клиента.