Mozilla Foundation ha publicado la nueva versión de
Thunderbird 45.6, su popular cliente de correo, en la que corrigen ocho
vulnerabilidades (dos de nivel crítico y las seis restantes de gravedad alta).
Dado que Thunderbird 45 contiene código subyacente que se
basa en el de Firefox 45 ESR (versión de soporte extendido), los problemas
corregidos también fueron solucionados en Firefox 45.6 ESR (publicado a
mediados de mes).
Los problemas críticos residen en un uso de memoria
después de liberarla mientras se manipulan eventos DOM y elementos de audio
(CVE-2016-9899) y múltiples problemas de corrupción de memoria en Thunderbird
que igualmente podrían permitir la ejecución remota de código (CVE-2016-9893).
Las vulnerabilidades consideradas de gravedad alta consisten
en un uso de memoria después de liberarla en el Editor mientras se manipulan
subárboles DOM (CVE-2016-9898), imágenes SVG permiten la carga de recursos
externos restringidos a través de URLs data: (CVE-2016-9900), una fuga de
información en atoms compartidos (CVE-2016-9904), salto de CSP (Content
Security Policy) usando la etiqueta marquee (CVE-2016-9895), una caída en
EnumerateSubDocuments (CVE-2016-9905) y una corrupción de memoria en libGLES
(CVE-2016-9897).
Recomendación
- La nueva versión está disponible a través del sitio oficial de descargas de Thunderbird https://www.mozilla.org/thunderbird/
- o desde la actualización del navegador en Ayuda/Acerca de Thunderbird.
- Thunderbird Notes. Version 45.6.0. https://www.mozilla.org/en-US/thunderbird/45.6.0/releasenotes/
- Security vulnerabilities fixed in Thunderbird 45.6. https://www.mozilla.org/en-US/security/advisories/mfsa2016-96/