Thunderbird 102.2.1 ya está disponible. La nueva versión del cliente de correo electrónico de código abierto corrige varios problemas de seguridad en Thunderbird e incluye otros cambios.
La actualización de seguridad aborda varias vulnerabilidades que pueden superar el mecanismo de bloqueo de contenido remoto integrado.
Thunderbird 102.2.1 es ya disponible como una actualización en el cliente y como una descarga independiente del sitio web oficial del proyecto. Los usuarios existentes pueden seleccionar Ayuda > Acerca de Thunderbird para mostrar la versión actual. El programa ejecuta una verificación automática de actualizaciones en este punto para descargar e instalar cualquier versión nueva que se encuentre durante la verificación.
Thunderbird 102.2.1
La página oficial de avisos de seguridad enumera cuatro problemas de seguridad diferentes que se corrigen en la nueva versión del cliente de correo electrónico. Uno de los problemas tiene una calificación alta, los otros tres tienen una calificación moderada.
- CVE-2022-3033: Fuga de información confidencial al redactar una respuesta a un correo electrónico HTML con una etiqueta de actualización META
- CVE-2022-3032: el contenido remoto especificado en un documento HTML que estaba anidado dentro del atributo srcdoc de un iframe no estaba bloqueado
- CVE-2022-3034: un elemento iframe en un correo electrónico HTML podría desencadenar una solicitud de red
- CVE-2022-36059: Matrix SDK incluido con Thunderbird vulnerable a un ataque de denegación de servicio
El problema de seguridad calificado como alto aborda el siguiente problema. Los correos electrónicos que contienen una metaetiqueta con http-equiv=»refresh» y el atributo de contenido que especifica una URL podrían omitir el bloque de contenido remoto del cliente de correo electrónico cuando un usuario respondía a estos correos electrónicos.
El atacante podría abusar de él para ejecutar código JavaScript en «el contexto del documento de redacción del mensaje», lo que permitía al actor de amenazas leer y modificar el contenido del documento de redacción del mensaje; esto podría incluir el contenido descifrado de un mensaje cifrado, y estos datos podrían transferirse a otro servidor.
Dos de las tres vulnerabilidades restantes también abordan problemas de omisión de bloqueo de contenido remoto. La segunda vulnerabilidad cargó objetos remotos en un correo electrónico HTML que contenía un elemento iframe y usó un atributo srcdoc para definir el documento HTML interno. El contenido remoto, como imágenes o videos, podría cargarse de esa manera desde ubicaciones remotas.
El tercero aborda un problema con los correos electrónicos HTML que especificaban cargar un iframe desde una ubicación remota. La solicitud fue enviada pero Thunderbird nunca mostró el documento.
La cuarta vulnerabilidad corrige un problema en el protocolo de chat de Matrix, que podría hacer que Thunderbird sea vulnerable a los ataques de denegación de servicio.
Otros cambios
los notas de lanzamiento oficiales enumera varias mejoras y correcciones no relacionadas con la seguridad en el cliente de correo electrónico. La única característica nueva en Thunderbird 102.2.1 es el parámetro de inicio -calendar para cargar el Calendario al iniciar el cliente de correo electrónico.
El único cambio muestra un botón ahora durante la configuración de la cuenta para conectar libretas de direcciones y calendarios descubiertos automáticamente.
Se enumeran más de una docena de correcciones. Abordan una amplia gama de problemas, incluidos problemas de recuperación de correo electrónico emergente después de errores y recuperaciones de red, problemas al exportar un perfil o problemas al actualizar los colores de la cuota de correo.
Ahora tu: ¿Thunderbird 102, todavía la versión anterior, o algo completamente diferente para correos electrónicos?