شرکت Mozilla برنامه Thunderbird را به‌روزرسانی کرد

شرکت Mozilla نسخه 91.3 برنامه Thunderbird را منتشر کرد تا چندین آسیب‌پذیری با تاثیر زیاد که منجر به حمله منع سرویس، جعل مبدا، عبور از سیاست‌های امنیتی و اجرای کدهای دلخواه می‌شوند را مرتفع کند. راه‌اندازی بیشتر باگ‌های تازه کشف‌شده مستلزم آن است که کاربر یک وب‌سایت خاص را در مرورگر باز کند، بنابراین بهره‌برداری از آنها نسبتاً ساده است.

چندین نقص با شدت بالا

نسخه جدید Thunderbird 91.3 ده نقص که توسط محققان مختلف کشف شده است را رفع کرده که طیف وسیعی از عملکردهای سرویس ایمیلی را پوشش می‌دهد.

• CVE-2021-38503: محدودیت‌های نفوذ به iframe که به اجرای اسکریپت‌ها منجر می‌شود
• CVE-2021-38504: استفاده از نقص حافظه از نوع Use-after-free که منجر به تخریب حافظه شده و به میزان زیادی قابل سوء‌استفاده می‌باشد
• CVE-2021-38505: ثبت و ضبط اطلاعات حیاتی کلیپ بورد در ویندوز 10، نسخه برداری از اطلاعات حساس کاربری در حساب کاربری مایکروسافت، افزایش خطر افشای اطلاعات
• CVE-2021-38506: اجبار Thunderbird به حالت تمام صفحه بدون دخالت کاربر که امکان جعل UI و حملات فیشینگی به مهاجم را فراهم می‌کند
• CVE-2021-38507: عبور از سیاست Same-Origin-Policy با سوء‌استفاده از قابلیت رمزگذاری فرصت‌طلبانه (Opportunistic Encryption)
• CVE-2021-38508: توانایی کنترل Permission Prompt برای فریب دادن کاربر جهت تایید هر نوع مجوزی
• CVE-2021-38509: جعل محتویات هشدار جاوا با محتوی دلخواه
• CVE-2021-38510: عبور از حفاظت دانلود در فایل‌های inetloc. که به اجرای کدهای دلخواه بر روی سیستم عامل macOS کمک می‌کند.
• MOZ-2021-0008: آسیب‌پذیری حافظه Use-after-free در بخش HTTP2 که منجر به تخریب حافظه و احتمالا سوء‌استفاده می‌شود.
• MOZ-2021-0007: آسیب‌پذیری تخریب حافظه که منجر به اجرای کد دلخواه می‌شود.

یکی از قابل توجه‌ترین آسیب‌پذیری‌های این بخش، آسیب‌پذیری CVE-2021-38505 مرتبط با کلیپ بورد ابری ویندوز 10 می‌باشد. این قابلیت در ویندوز 10 و در سال 2018 معرفی شد که در صورت فعال کردن آن، داده‌های کپی شده در کلیپ‌بورد را در فضای ابری ثبت می‌کند و بنابراین در سایر دستگاه‌هایی که حساب دارید نیز در دسترس خواهد بود.

برای جلوگیری از همگام‌سازی داده‌های حساس با ابر، مایکروسافت قالب‌های کلیپ بورد خاصی را معرفی کرده که ویندوز آنها را در فضای ابری کپی نمی‌کند. با این حال، Thunderbird و Mozilla از این قالب‌ها استفاده نمی‌کنند و در این صورت احتمال اینکه اجازه همگام‌سازی این اطلاعات را در فضای ابری بدهند بسیار زیاد است.

راهکار

با توجه به اهمیت نقایص بالا، ارتقاء این نرم‌افزار خدمات ایمیلی به نسخه جدید 91.3 یا بالاتر باید در اسرع وقت انجام شود. برای به‌روزرسانی دستی به آخرین نسخه، Thunderbird را باز کنید و بر روی منوی Application کلیک کنید و سپس دستورات زیر را اجرا نمایید:

Application> Help> About Thunderbird

نسخه لینوکس Ubuntu نیز نقایص موجود در این برنامه برای سیستم عامل لینوکس را با ارائه اخطاری مشخص کرده است و برای این سیستم عامل نیز نسخه‌ای به روزرسانی شده ارائه شده که از لینک زیر قابل دسترس است:

https://ubuntu.com/security/notices/USN-5132-1