El equipo de Thunderbird lanzó una nueva versión del popular cliente de correo electrónico que aborda muchas de las emisiones de seguridad, incluida la vulnerabilidad EFAIL
Thunderbird ha lanzado una nueva versión para abordar una docena de vulnerabilidades de seguridad, incluido el problema de cifrado EFAIL que se descubrió en mayo.
La nueva versión aborda dos problemas relacionados con EFAIL en la forma en que Thunderbird maneja los mensajes encriptados.
"Los ataques EFAIL explotan las vulnerabilidades en los estándares OpenPGP y S / MIME para revelar el texto claro de correos electrónicos encriptados. En pocas palabras, EFAIL abusa del contenido activo de los correos electrónicos HTML, por ejemplo, imágenes o estilos cargados externamente, para filtrar el texto sin formato a través de las URL solicitadas ", se lee en la publicación del blog publicada por los investigadores que descubrieron la falla EFAIL.
"Para crear estos canales de exfiltración, el atacante primero necesita acceso a los correos electrónicos encriptados, por ejemplo, interceptando el tráfico de la red, comprometiendo cuentas de correo electrónico, servidores de correo electrónico, sistemas de respaldo o computadoras cliente. Los correos electrónicos podrían haber sido recogidos hace años ".
El nuevo Thunderbird 52.9 aborda la falla CVE-2018-12372 que los atacantes pueden explotar para crear los resguardos de descifrado S / MIME y PGP en los mensajes HTML.
"Las partes S / MIME descifradas, cuando se incluyen en HTML diseñado para un ataque, pueden filtrar texto plano cuando se incluyen en una respuesta / reenvío HTML ", dice el aviso de seguridad publicado por la Fundación Mozilla.
La nueva versión también corrige la falla CVE-2018-12373 que podría provocar la fuga de texto claro S / MIME cuando se reenvía un mensaje.
Thunderbird 52.9 también soluciona algunos errores críticos, como el CVE-2018-12359, que es una vulnerabilidad de desbordamiento del búfer que podría aprovecharse para bloquear un sistema vulnerable.
"Un desbordamiento de búfer puede ocurrir cuando se renderiza contenido de lienzo al tiempo que se ajusta dinámicamente el alto y el ancho del elemento
La nueva versión también corrige un error de uso después de la libre rastreado como CVE-2018-12360 que podría aprovecharse para bloquear un sistema de destino.
Otro problema de seguridad está relacionado con los archivos ejecutables SettingContent-ms, el investigador de seguridad Matt Nelson descubrió que los usuarios de Windows 10 no recibían advertencias cuando abrían ese tipo de archivos. Este problema fue rastreado como CVE-2018-12368 y podría ser utilizado por los atacantes para ejecutar código arbitrario engañando a los usuarios para que abran los archivos.
"Windows 10 no advierte a los usuarios antes de abrir archivos ejecutables con la extensión SettingContent-ms, incluso cuando se han descargado de Internet y tienen la" Marca de la Web ". Continúa el aviso.
"Sin la advertencia, los usuarios desprevenidos que no están familiarizados con este nuevo tipo de archivo podrían ejecutar un ejecutable no deseado. Esto también permite una WebExtension con el permiso .open de descargas limitadas para ejecutar código arbitrario sin interacción del usuario en sistemas con Windows 10 ".
Fecha actualización el 2021-07-05. Fecha publicación el 2018-07-05. Categoría: Thunderbird. Autor: Oscar olg Mapa del sitio Fuente: securityaffairs