Mozilla
Foundation ha publicado la nueva versión de Thunderbird 38.7, su popular cliente de correo, en la que corrigen 24 vulnerabilidades. Se agrupan en 10 boletines (seis de nivel
crítico, tres clasificados de gravedad alta y uno de baja).
Dado que Thunderbird 38 contiene
código subyacente que se basa en el de Firefox 38 ESR (versión de soporte
extendido), los problemas corregidos también fueron solucionados en Firefox 38.7
ESR (publicado la semana
pasada).
Las vulnerabilidades críticas
residen en dos problemas (CVE-2016-1952
y CVE-2016-1953)
de tratamiento
de memoria en el motor del navegador que podrían permitir la ejecución remota
de código. Por usos después de liberar en el tratamiento
de cadenas HTML5 (CVE-2016-1960),
en SetBody
(CVE-2016-1961),
y durante transformaciones
XML (CVE-2016-1964).
También por un desbordamiento de búfer al decodificar
ASN.1 en NSS (CVE-2016-1950).
Por último, 14 vulnerabilidades en el tratamiento de fuentes en la librería
Graphite 2 en la versión 1.3.5 (CVE-2016-1977
y CVE-2016-2790
al CVE-2016-2802).
Además, también se han corregido
otras vulnerabilidades de gravedad alta como una sobreescritura local de
archivos y escalada de privilegios a través de informes CSP, corrupción de
memoria con plugins NPAPI maliciosos y un uso después de liberar mientras se
procesan llaves codificadas DER en las librerías Network Security Services
(NSS).
La nueva versión está disponible
a través del sitio oficial de descargas de Thunderbird:
o desde la actualización del
navegador en Ayuda/Acerca de Thunderbird.
Más información:
Thunderbird Notes
Version 38.7.0
Fixed in Thunderbird 38.7
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario