Mozilla fonds
Izlaižot Thunderbird 52.9, izstrādātāji ir spējuši novērst vairākus kritiskus drošības trūkumus, un tāpēc lietotāji tiek mudināti veikt jaunināšanu, lai nodrošinātu, ka viņi neatrodas nevienā no šīm ievainojamībām. Tā kā Thunderbird, lasot pastu, atspējo skriptu izveidošanu, tas parasti nevar ciest no lielākās daļas. Tomēr pārlūkprogrammām līdzīgās kontrolēs pastāv potenciālie riski, kas ir pietiekami satraucoši, ka organizācija veltīja daudz laika, lai pārliecinātos, ka nevienu no šiem jautājumiem nevar atrast savvaļā.
Bufera pārpildes vienmēr ir dažas no tām, kas vairāk attiecas uz ievainojamību, un kļūdas # CVE-2018-12359 izmantošana būtu paļāvusies tieši uz šo paņēmienu, lai pārņemtu kontroli pār e-pasta klientu. Pārpildes teorētiski varētu notikt, atveidojot audekla moduļus, kad audekla elementa augstums un platums tika dinamiski pārvietoti.
Ja tas noticis, tad datus var ierakstīt ārpus parastajām atmiņas robežām un tie var atļaut patvaļīgu koda izpildi. ‘12359 ir izlabots 52.9 versijā, kas, iespējams, ir pietiekams iemesls lielākajai daļai lietotāju veikt jaunināšanu.
Otra lielākā ievainojamība # CVE-2018-12360 varēja būt hipotētiska, kad ievades elements tika izdzēsts noteiktā laikā. Tam parasti būtu bijis jāizmanto metode, ko izmanto mutācijas notikumu apstrādātāji, kas tiek aktivizēti, kad viens elements ir fokusēts.
Lai gan ir diezgan maz ticams, ka ‘12360 varēja notikt savvaļā, iespēja patvaļīgai koda izpildei bija pietiekami liela, lai neviens negribētu riskēt, ka kaut kas notiek. Rezultātā šī kļūda ir arī novērsta kopā ar vienu, kas saistīts ar CSS elementiem, un otru, kas saistīts ar teksta noplūdi no atšifrētiem e-pastiem.
Lietotājiem, kuri vēlas jaunināt uz jaunāko versiju un tādējādi izmantot šo kļūdu labojumus, nebūs daudz jāuztraucas par sistēmas prasībām. Windows versija darbojas ar tik vecām instalācijām kā Windows XP un Windows Server 2003.
Mac lietotāji var palaist 52,9 operētājsistēmā OS X Mavericks vai jaunākā versijā, un gandrīz visiem, kas izmanto modernu GNU / Linux izplatīšanu, vajadzētu būt iespējai jaunināt, jo vienīgā ievērojamā atkarība ir GTK + 3.4 vai jaunāka. Šie lietotāji tik un tā var secināt, ka jaunā versija ir viņu krātuvēs pietiekami drīz.
Tagi tīmekļa drošība
