Mozilla arregla una vulnerabilidad crítica en Thunderbird 60.2.1

Mozilla ha lanzado recientemente la versión 60.2.1 de Thunderbird que incluye arregla 7 vulnerabilidades de seguridad (1 crítica, 2 altas, 3 moderadas y 1 clasificada como baja). Una de estas vulnerabilidades es crítica debido a que puede permitir a la ejecución remota de código.

Según Mozilla, la vulnerabilidad crítica estaba relacionada con la corrupción de la memoria que consideraban que podía explotarse para realizar la ejecución del código.

"Errores de seguridad en la memoria presentes en Firefox 61 y Firefox ESR 60.1. Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que, con el esfuerzo suficiente, algunos podrían explotarse para ejecutar código arbitrario".

El resto de fallos son los que podrían hacer que Thunderbird se bloquee pero el CVE-2018-12383 que tiene un rango de vulnerabilidad Baja permite establecer una contraseña maestra después de Firefox 58 debido a que no se eliminan las contraseñas no cifradas previamente almacenadas.

La vulnerabilidad CVE-2018-12383 podría permitir a los usuarios un fácil acceso a las contraseñas no cifradas.

"Si un usuario guardó las contraseñas antes de Firefox 58 y luego estableció una contraseña maestra, aún se puede acceder a una copia no cifrada de estas contraseñas. Esto se debe a que el archivo de contraseña almacenado más antiguo no se eliminó cuando los datos se copiaron al nuevo formato que comienza con Firefox 58. La nueva contraseña maestra se agrega solo en el nuevo archivo. Esto podría permitir la exposición de los datos de contraseña almacenados fuera de las expectativas del usuario".

Si eres usuario de Mozilla Thunderbird te recomendamos actualizar lo más pronto posible.

Fuente: Mozilla