Thunderbird 102.8 posta istemcisine yapılan güncelleme, görünüşe göre saldırganların etkilenen bir sistemin güvenliğini aşmasına izin veren güvenlik açıklarını kapatıyor. Bu nedenle ABD siber güvenlik yetkilisi CISA, kullanıcıların mevcut güncellemeyi uygulamaları gerektiği konusunda uyarıyor.
Firefox ESR tabanından Thunderbird güvenlik açıkları
Thunderbird, Firefox ESR kod tabanlarına güvenir. Böylece mevcut sürüm 102.8, aynı sürümdeki Firefox ESR web tarayıcısında kapatılan güvenlik açıklarını da kapatmaktadır. Güvenlik tavsiyelerinde Thunderbird geliştiricileri, güvenlik açıklarının çoğunun doğrudan gelen e-postalar yoluyla kötüye kullanılamayacağına dikkat çekiyor. Ancak, tarayıcı benzeri bir bağlamda risk oluştururlar. Doğrudan Thunderbird’de görüntülenen e-postalardaki dosya ekleri, örneğin PDF dosyaları bu kategoriye girebilir.
Ancak yamalanmış güvenlik açıklarından biri, saldırganların Thunderbird’ün kullanıcı arayüzünü felç etmesine olanak tanıyor. Bunu yapmak için, OpenPGP ve OpenPGP MIME verilerini belirli, belirtilmemiş bir şekilde birleştiren bir e-postayı özel olarak hazırlamaları gerekir. Bu, Thunderbird’ü, posta istemcisinin postayı işlemeye ve görüntülemeye çalıştığı sonsuz bir döngüye gönderir (CVE-2023-0616, risk “Düşük“).
Thunderbird geliştiricileri bu nedenle güncellemeyi genel olarak düşük riskli olarak değerlendiriyor. Bununla birlikte, diğer güvenlik açıkları, kötü amaçlı kod enjekte etme ve yürütme noktasına kadar küçük sapmalarda kötüye kullanılabilir. Orijinal CISA uyarı web sayfası şu anda bir erişim reddedildi mesajı veriyor. Ancak, Google önbelleğinde bulunabilir ve çağrılabilir. ABD’deki en üst düzey BT güvenlik yetkilisi, oradaki kullanıcılara ve yöneticilere güncellemeyi uygulamalarını önerir.
Bunu yapmak için, etkilenenler ayarlar menüsüne gidebilir, “Yardım” altında “Mozilla Thunderbird Hakkında” seçeneğini seçebilir ve henüz başlamadıysa güncelleme işlemini başlatabilir. Gerekirse, kullanıcıların e-posta istemcisini buradan yeniden başlatması gerekir. Linux kullanıcıları güncellemeyi genellikle dağıtımın kendi yazılım yönetimi aracılığıyla alırlar.
Bu arada, Mozilla geliştiricileri Thunderbird’ü tamamen yenilemeyi planlıyor. Bu, Thunderbird arayüzünün yeniden tasarlanmasını, kod tabanının modernleştirilmesini ve aylık bir sürüm döngüsünün getirilmesini içerir.
(dmk)
Haberin Sonu
Firefox ESR tabanından Thunderbird güvenlik açıkları
Thunderbird, Firefox ESR kod tabanlarına güvenir. Böylece mevcut sürüm 102.8, aynı sürümdeki Firefox ESR web tarayıcısında kapatılan güvenlik açıklarını da kapatmaktadır. Güvenlik tavsiyelerinde Thunderbird geliştiricileri, güvenlik açıklarının çoğunun doğrudan gelen e-postalar yoluyla kötüye kullanılamayacağına dikkat çekiyor. Ancak, tarayıcı benzeri bir bağlamda risk oluştururlar. Doğrudan Thunderbird’de görüntülenen e-postalardaki dosya ekleri, örneğin PDF dosyaları bu kategoriye girebilir.
Ancak yamalanmış güvenlik açıklarından biri, saldırganların Thunderbird’ün kullanıcı arayüzünü felç etmesine olanak tanıyor. Bunu yapmak için, OpenPGP ve OpenPGP MIME verilerini belirli, belirtilmemiş bir şekilde birleştiren bir e-postayı özel olarak hazırlamaları gerekir. Bu, Thunderbird’ü, posta istemcisinin postayı işlemeye ve görüntülemeye çalıştığı sonsuz bir döngüye gönderir (CVE-2023-0616, risk “Düşük“).
Thunderbird geliştiricileri bu nedenle güncellemeyi genel olarak düşük riskli olarak değerlendiriyor. Bununla birlikte, diğer güvenlik açıkları, kötü amaçlı kod enjekte etme ve yürütme noktasına kadar küçük sapmalarda kötüye kullanılabilir. Orijinal CISA uyarı web sayfası şu anda bir erişim reddedildi mesajı veriyor. Ancak, Google önbelleğinde bulunabilir ve çağrılabilir. ABD’deki en üst düzey BT güvenlik yetkilisi, oradaki kullanıcılara ve yöneticilere güncellemeyi uygulamalarını önerir.
Bunu yapmak için, etkilenenler ayarlar menüsüne gidebilir, “Yardım” altında “Mozilla Thunderbird Hakkında” seçeneğini seçebilir ve henüz başlamadıysa güncelleme işlemini başlatabilir. Gerekirse, kullanıcıların e-posta istemcisini buradan yeniden başlatması gerekir. Linux kullanıcıları güncellemeyi genellikle dağıtımın kendi yazılım yönetimi aracılığıyla alırlar.
Bu arada, Mozilla geliştiricileri Thunderbird’ü tamamen yenilemeyi planlıyor. Bu, Thunderbird arayüzünün yeniden tasarlanmasını, kod tabanının modernleştirilmesini ve aylık bir sürüm döngüsünün getirilmesini içerir.
(dmk)
Haberin Sonu