وصله کردن اشکال‌های بحرانی در Thunderbird توسط موزیلا

موزیلا یک به‌روزرسانی امنیتی مهم برای Thunderbird، کارخواه رایانامه‌ی متن‌باز محبوب خود منتشر کرد. این به‌روزرسانی بخشی از انتشار ۵ وصله‌ی ماه دسامبر بود که شامل دو اشکال با رتبه‌بندی شدت بالا و یک اشکال با شدت متوسط و یک اشکال دیگر با شدت کم می‌باشد.

 

موزیلا گزارش داد، Thunderbird که به‌عنوان یک کارخواه اخبار، فیدخوان و گفت‌‌و‌گو نیز به‌کار می‌رود، در آخرین نسخه‌ی آن 52.5.2 که هفته‌ی گذشته منتشر شد، آسیب‌پذیری‌ها را وصله کرده است.

 

مهم‌ترین وصله برای یک اشکال بحرانی سرریز بافر (ردیابی شده با شناسه‌ی CVE-2017-7845) است که Thunderbird در حال اجرا بر روی سامانه‌ی عامل ویندوز را تحت تاثیر قرار می‌هد. 

 

موزیلا نوشت: «سرریز بافر زمانی رخ می‌دهد که عناصر طراحی و اعتبارسنجی با استفاده از Direct 3D 9 با کتابخانه‌ی گرافیکی angle، برای محتوای WebGL مورد استفاده قرار گیرد. این موضوع به‌دلیل یک انتقال یک مقدار نادرست درون کتابخانه در طول بررسی بوده و منجر به یک سقوط قابل بهره‌گیری بالقوه می‌شود.»

 

آسیب‌پذیری بحرانی مشابهی (ردیابی شده با شناسه‌ی CVE-2017-7845) در اوایل ماه جاری در مرورگر وب فایرفاکس متعلق به موزیلا گزارش و وصله شد. این آسیب‌پذیری در نسخه‌ی 57.0.2 فایرفاکس که در تاریخ ۷ دسامبر منتشر شده بود، وصله شد.

 

این دو آسیب‌پذیری امنیتی با شدت بالا، با شناسه‌های CVE-2017-7846 و CVE-2017-7847 ردیابی می‌شوند. اولین مورد به‌عنوان یک آسیب‌پذیری موجود در فیدخوان RSS در Thunderbird توصیف شده است. موزیلا گفت: «اجرای جاوا اسکریپت در فید تجزیه شده‌ی RSS هنگامی ممکن است که فید RSS به‌عنوان یک وب‌گاه، به‌عنوان مثال، از طریق View -> Feed article -> Website و یا در قالب استاندارد View -> Feed article -> default format، مشاهده شود.»

 

آن‌ها در مورد دومین آسیب‌پذیری بحرانی گفتند: «CSS ایجاد شده در یک فید RSS می‌تواند رشته‌های مسیر محلی را که ممکن است حاوی نام کاربری باشد، افشاء کرده و نشان دهد.»

 

آسیب‌‌پذیری‌های باقی‌مانده با شدت متوسط (ردیابی شده با شناسه‌ی CVE-2017-7848) و با شدت کم (ردیابی شده با شناسه‌ی CVE-2017-7829) یک اشکال RSS و یک اشکال تاثیرگذار بر روی رایانامه هستند.

 

موزيلا در مورد آسيب‌پذيری با سطح پايين نوشت: «این آسيب‌پذیری ممکن است آدرس فرستنده‌ی رایانامه را جعل کرده و یک آدرس فرستنده‌ی دلخواه به گیرنده‌ی رایانامه نشان دهد. آدرس واقعی فرستنده درصورتی‌که قبل از آن در ردیف نمایش، یک کاراکتر خالی وجود داشته باشد، نمایش داده نمی‌شود.»

 

اندکی پس از اعلام موزیلا مبنی بر به‌روزرسانی پایگاه کد Thunderbird، توجه‌ها به فایرفاکس جلب شد. اوایل سال جاری موزیلا اعلام کرد که واسط کاربری و کد Thunderbird را به‌روزرسانی کرده و آن را به سمتی هدایت خواهد کرد که با واسط‌های برنامه‌نویسی XUL و XPCOM و افزونه‌های ساخت فایرفاکس سازگارتر باشد.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید