Thunderbird 102.8 posta istemcisine yapılan güncelleme, görünüşe göre saldırganların etkilenen bir sistemin güvenliğini aşmasına izin veren güvenlik açıklarını kapatıyor. ABD bilgi güvenliği yetkilisi CISA bu nedenle, kullanıcıların mevcut güncellemeyi uygulamaları gerektiği konusunda uyarır.
Firefox ESR tabanından Thunderbird güvenlik açığı
Thunderbird, Firefox ESR kod tabanlarını temel alır. Böylece mevcut sürüm 102.8, aynı sürümdeki Firefox ESR web tarayıcısında kapatılan güvenlik açıklarını da kapatmaktadır. Güvenlik tavsiyelerinde Thunderbird geliştiricileri, güvenlik açıklarının çoğunun doğrudan gelen e-posta yoluyla kötüye kullanılamayacağına dikkat çekiyor. Ancak, tarayıcı benzeri bir bağlamda risk oluştururlar: doğrudan Thunderbird’de görünen e-postalardaki dosya ekleri, örneğin PDF dosyaları bu kategoriye girebilir.
Ancak, düzeltilen güvenlik açıklarından biri, saldırganların Thunderbird kullanıcı arabirimini devre dışı bırakmasına olanak tanır. Bunu yapmak için, OpenPGP ve OpenPGP MIME verilerini belirli ve belirtilmemiş bir şekilde birleştiren bir e-postayı özel olarak hazırlamaları gerekir. Bu, Thunderbird’ü, posta istemcisinin postayı işlemeye ve görüntülemeye çalıştığı sonsuz bir döngüye gönderir (CVE-2023-0616, risk “Bas“).
Thunderbird geliştiricileri bu nedenle güncellemeyi genel olarak düşük bir risk olarak değerlendiriyor. Bununla birlikte, diğer güvenlik açıkları, kötü amaçlı kod enjekte etme ve yürütme noktasına kadar küçük sapmalarda kötüye kullanılabilir. Orijinal CISA Alert Web sayfası şu anda bir Erişim Reddedildi mesajı veriyor. Ancak, Google önbelleğinde bulunabilir ve çağrılabilir. Amerika Birleşik Devletleri’ndeki en yüksek BT güvenlik yetkilisi, kullanıcıların ve yöneticilerin güncellemeyi uygulamalarını önerir.
Bunu yapmak için, ilgilenen kişiler ayarlar menüsüne erişebilir, “Yardım” bölümünde “Mozilla Thunderbird Hakkında” öğesini seçebilir ve henüz başlamadıysa güncelleme işlemini başlatabilir. Gerekirse, kullanıcıların e-posta istemcisini buradan yeniden başlatması gerekir. Linux kullanıcıları güncellemeyi genellikle dağıtımın yazılım yönetimi aracılığıyla alırlar.
Bu arada, Mozilla geliştiricileri Thunderbird’ü tamamen yenilemeyi planlıyor. Bu, Thunderbird arayüzünün yeniden tasarlanmasını, kod tabanının modernleştirilmesini ve aylık bir sürüm döngüsünün getirilmesini içerir.
(dmk)
Haberin Sonu
Firefox ESR tabanından Thunderbird güvenlik açığı
Thunderbird, Firefox ESR kod tabanlarını temel alır. Böylece mevcut sürüm 102.8, aynı sürümdeki Firefox ESR web tarayıcısında kapatılan güvenlik açıklarını da kapatmaktadır. Güvenlik tavsiyelerinde Thunderbird geliştiricileri, güvenlik açıklarının çoğunun doğrudan gelen e-posta yoluyla kötüye kullanılamayacağına dikkat çekiyor. Ancak, tarayıcı benzeri bir bağlamda risk oluştururlar: doğrudan Thunderbird’de görünen e-postalardaki dosya ekleri, örneğin PDF dosyaları bu kategoriye girebilir.
Ancak, düzeltilen güvenlik açıklarından biri, saldırganların Thunderbird kullanıcı arabirimini devre dışı bırakmasına olanak tanır. Bunu yapmak için, OpenPGP ve OpenPGP MIME verilerini belirli ve belirtilmemiş bir şekilde birleştiren bir e-postayı özel olarak hazırlamaları gerekir. Bu, Thunderbird’ü, posta istemcisinin postayı işlemeye ve görüntülemeye çalıştığı sonsuz bir döngüye gönderir (CVE-2023-0616, risk “Bas“).
Thunderbird geliştiricileri bu nedenle güncellemeyi genel olarak düşük bir risk olarak değerlendiriyor. Bununla birlikte, diğer güvenlik açıkları, kötü amaçlı kod enjekte etme ve yürütme noktasına kadar küçük sapmalarda kötüye kullanılabilir. Orijinal CISA Alert Web sayfası şu anda bir Erişim Reddedildi mesajı veriyor. Ancak, Google önbelleğinde bulunabilir ve çağrılabilir. Amerika Birleşik Devletleri’ndeki en yüksek BT güvenlik yetkilisi, kullanıcıların ve yöneticilerin güncellemeyi uygulamalarını önerir.
Bunu yapmak için, ilgilenen kişiler ayarlar menüsüne erişebilir, “Yardım” bölümünde “Mozilla Thunderbird Hakkında” öğesini seçebilir ve henüz başlamadıysa güncelleme işlemini başlatabilir. Gerekirse, kullanıcıların e-posta istemcisini buradan yeniden başlatması gerekir. Linux kullanıcıları güncellemeyi genellikle dağıtımın yazılım yönetimi aracılığıyla alırlar.
Bu arada, Mozilla geliştiricileri Thunderbird’ü tamamen yenilemeyi planlıyor. Bu, Thunderbird arayüzünün yeniden tasarlanmasını, kod tabanının modernleştirilmesini ve aylık bir sürüm döngüsünün getirilmesini içerir.
(dmk)
Haberin Sonu