Mozilla Foundation ha publicado la nueva versión de
Thunderbird 38.7, su popular cliente de correo, en la que corrigen 24 vulnerabilidades.
Se agrupan en 10 boletines (seis de nivel crítico, tres clasificados de
gravedad alta y uno de baja).
Dado que Thunderbird 38 contiene código subyacente que se
basa en el de Firefox 38 ESR (versión de soporte extendido), los problemas corregidos
también fueron solucionados en Firefox 38.7 ESR (publicado la semana pasada).
Las vulnerabilidades críticas residen en dos problemas
(CVE-2016-1952 y CVE-2016-1953) de tratamiento de memoria en el motor del
navegador que podrían permitir la ejecución remota de código. Por usos después
de liberar en el tratamiento de cadenas HTML5 (CVE-2016-1960), en SetBody
(CVE-2016-1961), y durante transformaciones XML (CVE-2016-1964). También por un
desbordamiento de búfer al decodificar ASN.1 en NSS (CVE-2016-1950). Por
último, 14 vulnerabilidades en el tratamiento de fuentes en la librería
Graphite 2 en la versión 1.3.5 (CVE-2016-1977 y CVE-2016-2790 al
CVE-2016-2802).
Además, también se han corregido otras vulnerabilidades
de gravedad alta como una sobreescritura local de archivos y escalada de
privilegios a través de informes CSP, corrupción de memoria con plugins NPAPI
maliciosos y un uso después de liberar mientras se procesan llaves codificadas
DER en las librerías Network Security Services (NSS).
La nueva versión está disponible a través del sitio
oficial de descargas de Thunderbird:
o desde la actualización del navegador en Ayuda/Acerca de
Thunderbird.
