موزیلا، توسعهدهندهی نرمافزار مدیریت رایانامهی Thunderbird چندین آسیبپذیری این نرمافزار را وصله کرده است.
این آسیبپذیریها به مهاجم این امکان را میداد که تگهای HTML را از طریق پیام رایانامه ارسال کند، ویژگی که Thunderbird با استفاده از فیلترها آن را مسدود میکند و در صورتی که مهاجم موفق به سوءاستفاده از این آسیبپذیری شود، میتواند به اجرای کد در رایانهی قربانی بپردازد.
این آسیبپذیری در نسخهی 17.0.6 از نرمافزار Thunderbird وجود دارد، زمانی که مهاجم تگهای HTML را به پیام رایانامه تزریق میکند، و کاربر اقدام به پاسخدادن یا هدایت رایانامه به فرد دیگری میکند، قابل سوءاستفاده است و مهاجم میتواند اسکرپیتهایی را روی رایانهی قربانی اجرا کند.
به صورت پیشفرض تگهای HTML، مانند <script> و <iframe> توسط Thunderbird مسدود میشوند، اما در صورتی که یک پیام حاوی این تگها به حالت پیشنویس برود، مهاجم میتواند بهراحتی روشهای مسدودسازی را با رمزنگاری این تگها با الگوریتم رمزنگاریِ base64 دور بزند و با استفاده از تگ <object> و تزریق اسکریپت به رایانامه، قربانی را آلوده کند.
این آسیبپذیری در نسخهی جدید نرمافزار Thunderbird اصلاح شده، و به کاربران توصیه شدهاست تا در اسرع وقت، نرمافزار خود را به آخرین نسخه ارتقاء دهند.