Mozilla Foundation ha
publicado la nueva versión de Thunderbird 52.9, su popular cliente de correo,
en la que corrigen trece vulnerabilidades (cuatro de nivel crítico y cinco
clasificadas como de gravedad alta).
Mozilla Thunderbird
es un cliente de correo electrónico multiplataforma de código abierto y libre,
cliente de noticias, cliente de RSS y de chat desarrollado por la Fundación
Mozilla. Utiliza el lenguaje de interfaz XUL y viene instalado por defecto en
los sistemas de escritorio de Ubuntu.
Entre sus
características podemos destacar:
·
Cifrado
PGP
·
Filtros
de correo
·
Lector
RSS
·
Filtro
anti-spam
Con respecto al
informe redactado por el equipo de Mozilla Foundation Security, podemos
destacar algunas de las vulnerabilidades corregidas:
Las vulnerabilidades
etiquetadas con CVE-2018-12372 y CVE-2018-12373 y consideradas de gravedad alta
podrían ser aprovechadas por un atacante para revelar en texto plano los
correos electrónicos encriptados mediante un ataque 'EFAIL' .
EFAIL explota
vulnerabilidades en los estándares OpenPGP y S/MIME para extraer en texto plano
correos electrónicos que han sido cifrados. El ataque utiliza elementos HTML
externos, como imágenes y hojas de estilos para desencriptar el mensaje
previamente interceptado.
Sin embargo, como
decíamos es necesario que el atacante tenga acceso a correos cifrados:
·
Interceptando
tráfico de la red.
·
Comprometiendo
cuentas de correo, servidores de correo, backups o equipos.
La siguiente
vulnerabilidad, etiquetada con CVE-2018-12359 y considerada crítica, se debe a
un desbordamiento de la memoria intermedia que podría provocar una denegación
de servicio a la hora de renderizar el contenido dentro de un elemento de tipo
especialmente manipulado.
Otra de las
vulnerabilidades consideradas de gravedad alta (CVE-2018-12362) permitiría a un
atacante provocar una denegación de servicio aprovechando un desbordamiento de
enteros en el componente SSSE3 (Supplemental Streaming SIMD Extensions 3).
Desde la fundación
Mozilla han comunicado que estas vulnerabilidades no pueden ser explotadas en
el gestor de correo de Thunderbird al leer mensajes, ya que la ejecución de
scripts está deshabilitada por defecto, sin embargo advierten que se corre
riesgo en el navegador o contextos similares.
Se recomienda
actualizar la aplicación desde el sitio web del fabricante o en su defecto
desde repositorios oficiales.
Más información:
- Security
vulnerabilities fixed in Thunderbird 52.9 – Mozilla https://www.mozilla.org/en-US/security/advisories/mfsa2018-18/
- Vulnerabilidad
crítica: usuarios de PGP deben desactivar de inmediato plugins de
descifrado de emails https://unaaldia.hispasec.com/2018/05/vulnerabilidad-critica-usuarios-de-pgp.html
Fuente: Hispasec