آسیب‌پذیری جدی THUNDERBIRD وصله شد‎

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

q415

 

 

Mozilla به‌تازگی به‌روزرسانی امنیتی مهمی را منتشر ساخته‌است که پنج نقص امنیتی Thunderbird را رفع می‌کند.

به گزارش كارشناسان دژپاد ،اوایل سال جاری، Mozilla اعلام کرد که کد واسط کاربری Thunderbird را به‌روزرسانی خواهدکرد و آن را با حذف پشتیبانی از افزونه‌های قدیمی که بر روی واسط‌های برنامه‌نویسی XUL و XPCOM ساخته شده‌اند به فایرفاکس نزدیک‌تر خواهدکرد. Mozilla Thunderbird کارخواه ایمیل، اخبار، RSS و چت است که رایگان و متن‌باز است و توسط مؤسسه‌ Mozilla ایجاد شده‌است.

Mozilla به‌تازگی به‌روزرسانی امنیتی مهمی را منتشر ساخته‌است که پنج نقص امنیتی Thunderbird را رفع می‌کند. این وصله بخشی از پنج رفع نقص ماه دسامبر است. نقص‌های ذکر شده شامل دو اشکال با درجه خطر بالا، یک اشکال با درجه خطر متوسط و بقیه با درجه پایین است.

مهم‌ترین رفع نقص این وصله مربوط به آسیب‌پذیری سرریز بافر (CVE-۲۰۱۷-۷۸۴۵) در نسخه ویندوزی Thunderbird است.

بنا به گفته‌ Mozilla، این اشکال زمانی رخ می‌دهد که طراحی و اعتبارسنجی عناصری که از Direct3D9 با کتابخانه‌ گرافیکی ANGLE استفاده می‌کنند برای محتوای WebGL استفاده شده‌باشد. این امر به دلیل مقداردهی نادرست درون کتابخانه است تا درنهایت منجر به Crash کردن برنامه شده و به نفوذگر اجازه سوءاستفاده دهد.

همین آسیب‌پذیری بحرانی (CVE-۲۰۱۷-۷۸۴۵) در اوایل ماه جاری در مرورگر وب Mozilla firefox نیز گزارش و در نسخه‌ی ۵۷.۰.۲ که در ۷ دسامبر منتشر شد، رفع شد. دو مشکل امنیتی دیگر که دارای درجه اهمیت بالا هستند با شناسه‌های CVE-۲۰۱۷-۷۸۴۶ و CVE-۲۰۱۷-۷۸۴۷ مشخص شده‌اند.

آسیب‌پذیری اول در RSS Reader Thunderbird کشف شده‌است. Mozilla در توضیحات این آسیب‌پذیری گفته‌است که امکان اجرای جاوااسکریپت در feed RSS، زمانی که به‌عنوان یک وب‌‌سایت مشاهده می‌شود، وجود دارد. یعنی زمانی که از طریق منو View به Feed Article رفته و سپس وب‌‌سایت موردنظر را انتخاب می‌کنیم.

همچنین در صورت طی مسیر “View -> Feed Article -> Default Format” نیز امکان رخ دادن این آسیب پذیری وجود دارد.

در مورد دومین آسیب‌پذیری نیز این‌گونه شرح داده شده‌است که CSS ساخته‌شده در RSS feed می‌تواند مسیر محلی را که ممکن است شامل نام کاربری باشد، فاش کند و نمایش دهد.

آسیب‌پذیری‌ CVE-۲۰۱۷-۷۸۴۸ با دارا بودن درجه ریسک متوسط، یک اشکال RSS است که به نفوذگر اجازه می‌دهد تا اقدام به تغییر محتوای ایمیل کند و یا محتوای موردنظر خود را در یک خط جدید به آن اضافه کند.

آسیب‌پذیری CVE-۲۰۱۷-۷۸۲۹ نیز که دارای درجه اهمیت پایین است بر ارسال ایمیل اثر می‌گذارد و در آن امکان جعل آدرس فرستنده‌ ایمیل و نمایش آدرس فرستنده‌ دلخواه برای گیرنده‌ ایمیل وجود دارد. اگر آدرس فرستنده با کاراکتر تهی (null) آغاز شود، آدرس واقعی فرستنده نمایش داده‌نمی‌شود.