Компания Mozilla выпустила исправления для пяти уязвимостей в своем почтовом клиенте.
Mozilla выпустила обновления безопасности для своей бесплатной почтовой программы Thunderbird, исправляющие пять уязвимостей. Некоторые из исправленных уязвимостей могут эксплуатироваться хакерами для получения удаленного контроля над атакуемой системой.
Самой серьезной уязвимостью, исправленной в версии Thunderbird 52.5.2, является CVE-2017-7845, вызывающая переполнение буфера и отмеченная в уведомлении безопасности Mozilla как критическая. Проблема возникает при рисовании и подтверждении подлинности элементов с помощью Direct 3D 9 с графической библиотекой ANGLE, используемой для контента WebGL. Это происходит из-за некорректного значения, проходящего в библиотеке во время проверки. Проблема затрагивает только компьютеры под управлением Windows, на других системах атака не работает.
Уязвимость CVE-2017-7846 отмечена как высокой опасности. С ее помощью злоумышленник может выполнить JavaScript-код в выдаче RSS, когда выдача RSS отображается в виде сайта. Еще одной уязвимостью высокой опасности является CVE-2017-7847, приводящая к раскрытию информации.
Оставшиеся две уязвимости отмечены как средней и низкой опасности. Первая из них (CVE-2017-7848) позволяет осуществить инъекцию новых строк и модифицировать тело сообщения. Вторая (CVE-2017-7829) позволяет осуществить спуфинг электронного адреса отправителя.
Ладно, не доказали. Но мы работаем над этим