27 febbraio 2008


La società di sicurezza Secunia (http://secunia.com) ha riportato un advisory (SA29133 (http://secunia.com/advisories/29133/)), giudicata dalla stessa come Highly critical, in Mozilla Thunderbird 2.x che può essere usata da malintenzionati per potenzialmente compromettere il sistema di un utente ignaro.

La vulnerabilità è causata da un errore di manipolazione dei MIME types. questo può essere usato potenzialmente per eseguire da parte di malintezionati attacchi di tipo heap-based buffer overflow con tre bytes ingannando l'utente nella visione di un email creata ad hoc.

Lo sfruttamento con successo di questo bug permetterebbe l'esecuzione di codice arbitrario (presumibilmente malevolo).

La vulnerabilità è stata confermata nella versione 2.0.0.9 ma non si esclude che anche altre versioni siano affette.

Soluzione:
Aggiornarla alla versione 2.0.0.12 (http://www.mozilla-europe.org/it/products/thunderbird/).

Advisories d'origine:
iDefense:
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=668

Mozilla Foundation:
http://www.mozilla.org/security/announce/2008/mfsa2008-12.html


Fonte: Secunia (http://secunia.com/advisories/29133/)

ottima segnalazione :)

Grazie anche da parte mia,aggiornato adesso. ;)

grazie ragazzi, intanto vi posto un approfondimento di Punto Informatico - brevi:

http://punto-informatico.it/2202502/PI/ART/Rilasciato-Thunderbird-2-0-0-12/p.aspx

ripreso anche da security focus:

http://www.securityfocus.com/bid/28012/info