اصلاح آسیب‌پذیری‌های Thunderbird توسط موزیلا

موزیلا، توسعه‌دهنده‌ی نرم‌افزار مدیریت رایانامه‌ی Thunderbird چندین آسیب‌پذیری این نرم‌افزار را وصله کرده است.

این آسیب‌پذیری‌ها به مهاجم این امکان را می‌داد که تگ‌های HTML را از طریق پیام رایانامه ارسال کند،‌ ویژگی که Thunderbird با استفاده از فیلتر‌ها آن را مسدود می‌کند و در صورتی که مهاجم موفق به سوء‌استفاده از این آسیب‌پذیری شود، می‌تواند به اجرای کد در رایانه‌ی قربانی بپردازد.

این آسیب‌پذیری در نسخه‌ی 17.0.6 از نرم‌افزار Thunderbird وجود دارد، زمانی که مهاجم تگ‌های HTML را به پیام رایانامه تزریق می‌کند، و کاربر اقدام به پاسخ‌دادن یا هدایت رایانامه به فرد دیگری می‌کند، قابل سوء‌استفاده است و مهاجم می‌تواند اسکرپیت‌هایی را روی رایانه‌ی قربانی اجرا کند.

 به صورت پیش‌فرض تگ‌های HTML، مانند <script>  و  <iframe>  توسط Thunderbird مسدود می‌شوند، اما در صورتی که یک پیام حاوی این تگ‌ها به حالت پیش‌نویس برود، مهاجم می‌تواند به‌راحتی روش‌های مسدودسازی را با رمزنگاری این تگ‌ها با الگوریتم رمزنگاریِ base64  دور بزند و با استفاده از تگ <object> و تزریق اسکریپت به رایانامه، قربانی را آلوده کند. 
این آسیب‌پذیری در نسخه‌ی جدید نرم‌افزار Thunderbird اصلاح شده، و به کاربران توصیه شده‌است تا در اسرع وقت، نرم‌افزار خود را به آخرین نسخه‌ ارتقاء دهند.