Mozilla Foundation ha publicado la nueva versión de Thunderbird 45.6, su popular cliente de correo, en la que corrigen ocho vulnerabilidades (dos de nivel crítico y las seis restantes de gravedad alta).

Dado que Thunderbird 45 contiene código subyacente que se basa en el de Firefox 45 ESR (versión de soporte extendido), los problemas corregidos también fueron solucionados en Firefox 45.6 ESR (publicado a mediados de mes).

Los problemas críticos residen en un uso de memoria después de liberarla mientras se manipulan eventos DOM y elementos de audio (CVE-2016-9899) y múltiples problemas de corrupción de memoria en Thunderbird que igualmente podrían permitir la ejecución remota de código (CVE-2016-9893).

Las vulnerabilidades consideradas de gravedad alta consisten en un uso de memoria después de liberarla en el Editor mientras se manipulan subárboles DOM (CVE-2016-9898), imágenes SVG permiten la carga de recursos externos restringidos a través de URLs data: (CVE-2016-9900), una fuga de información en atoms compartidos (CVE-2016-9904), salto de CSP (Content Security Policy) usando la etiqueta marquee (CVE-2016-9895), una caída en EnumerateSubDocuments (CVE-2016-9905) y una corrupción de memoria en libGLES (CVE-2016-9897).

Recomendación

  • La nueva versión está disponible a través del sitio oficial de descargas de Thunderbird:
  • https://www.mozilla.org/thunderbird/
  • desde la actualización del navegador en Ayuda/Acerca de Thunderbird.

Más información:

Fuente: Hispasec

Anuncios