Ако ползвате популярния имейл клиент на Mozilla Thunderbird за получаване и изпращане на електронна поща, трябва да наложите новата версия на програмата възможно най-скоро, тъй като тя идва с кръпки за критични уязвимости, позволяващи изпълнението на зловреден код към засегнатите системи.
Версия 60.7.1 запушва едва четири дупки, но три от тях са определени, като „висок риск“ (последната е определена като ниско ниво на риск за системата). Експлоатирането на най-сериозната от тези три уязвимости може да позволи на атакуващата страна изпълнението на произволен код над уязвимата система.
„В зависимост от привилегиите, които притежава потребителят, атакуващата страна може да получи възможността да инсталира програми, да разглежда, променя или изтрива данни, да създава нови акаунти с пълни потребителски права. Потребителите, чиито акаунти са конфигурирани да бъдат с по-ограничени права в системата може да са по-малко засегнати от тези, които оперират с пълни администраторски права“, се съобщава в бюлетина, издаден вчера от страна на Центъра за интернет сигурност по отношение на проблемите.
Идентификационните номера на въпросните сериозни проблеми са CVE-2019-11703, CVE-2019-11704 и CVE-2019-11705. Уязвимостта, представляваща нисък риск е CVE-2019-11706. Въпросните проблеми са докладвани от Луис Мерино от X41 D-Sec и всички те засягат имплементацията на Thunderbird на iCal, което води до срив на програмата при обработката на специфични съобщения. Въпросните проблеми, както обясняват и от Центъра за интернет сигурност, не би трябвало да могат да се експлоатират, ако скриптинг функционалността е деактивирана при четене на поща, но представлява риск в браузърен контекст.
