Thunderbird 91.5.0 risolve diversi problemi di sicurezza

Thunderbird 91.5.0 Stable è un aggiornamento di sicurezza che risolve diversi problemi nel client di posta elettronica open source.

uccello del tuono 91.5.0

La nuova versione di Thunderbird Stable è già disponibile. Viene inviato ai sistemi degli utenti, a condizione che l’aggiornamento automatico non sia stato disabilitato.

Gli utenti di Thunderbird possono eseguire controlli manuali per gli aggiornamenti per installare l’aggiornamento in anticipo. Selezionare Aiuto > Informazioni su Thunderbird per visualizzare la versione installata e fare in modo che Thunderbird esegua manualmente un controllo degli aggiornamenti. Gli utenti che non vedono la barra dei menu devono premere il tasto Alt sulla tastiera per visualizzarla.

Le note di rilascio ufficiali elencano solo tre voci: due si riferiscono a problemi risolti nel client di posta elettronica, uno si collega alla pagina degli avvisi di sicurezza, che descrive in dettaglio i problemi di sicurezza risolti nel client.

I due problemi di non sicurezza che sono stati risolti risolvono un problema di visualizzazione per le etichette delle parole chiave RSS e informazioni mancanti sulla pagina di dialogo di Thunderbird.

La pagina degli avvisi di sicurezza per Thunderbird 91.5 elenca 14 problemi di sicurezza, molti dei quali derivano dal codice che Thunderbird condivide con il browser Web Firefox.

La valutazione di gravità più alta di tutte le vulnerabilità è alta, seconda solo alla valutazione critica. Ecco l’elenco completo dei problemi di sicurezza corretti nella nuova versione di Thunderbird:

  1. CVE-2022-22746: la chiamata a reportValidity potrebbe aver portato alla parodia della finestra a schermo intero
  2. CVE-2022-22743: spoofing della finestra del browser utilizzando la modalità a schermo intero
  3. CVE-2022-22742: Accesso alla memoria fuori limite durante l’inserimento di testo in modalità di modifica
  4. CVE-2022-22741: spoofing della finestra del browser utilizzando la modalità a schermo intero
  5. CVE-2022-22740: utilizzo successivo a ChannelEventQueue::mOwner
  6. CVE-2022-22738: Heap-buffer-overflow in blendGaussianBlur
  7. CVE-2022-22737: Race condition durante la riproduzione di file audio
  8. CVE-2021-4140: bypass sandbox Iframe con XSLT
  9. CVE-2022-22748: origine contraffatta nella finestra di dialogo di avvio del protocollo esterno
  10. CVE-2022-22745: Perdita di URL multiorigine attraverso un evento di violazione delle norme di sicurezza
  11. CVE-2022-22744: La funzione “Copia come arricciatura” in DevTools non sfuggiva completamente ai dati controllati dal sito Web, portando potenzialmente all’iniezione di comandi
  12. CVE-2022-22747: arresto anomalo durante la gestione di una sequenza pkcs7 vuota
  13. CVE-2022-22739: limitazione mancante nella finestra di dialogo di avvio del protocollo esterno
  14. CVE-2022-22751: bug di sicurezza della memoria corretti in Thunderbird 91.5