Thunderbird 52.9.0 がリリースされた
Mozilla は米国時間 2018 年 7 月 3 日、Thunderbird 52.8.0 リリース後に明らかとなった不具合を修正した Thunderbird 52.9.0 をリリースした。
Thunderbird 52.8.0 での改良点は次のとおり。
新機能及び改良点
- 変更
- アカウントがオンラインであっても、IMAP フォルダの最適化の際に確認を行うようになった
- 修正
- EFAIL 脆弱性の完全な修正: 1) 攻撃のために加えられた HTML 上の細工を除去 2) オプション: 攻撃者に復号したコンテンツを明らかにしてしまうことにつながる下位メッセージ部の暗号化を行わないようにできるようになった。これを有効にするには設定エディタで mailnews.p7m_subparts_external を true にする必要がある
- 修正
- メッセージ表示形式を「シンプル HTML」にしている場合にメッセージの転送で発生する多くの問題を修正
セキュリティ修正
このアップデートでのセキュリティ問題への修正は合計 12 件、重要度区分において 最高 3 件、高 5 件、中 3 件、低 1 件が修正されている。
- CVE-2018-12359
- Buffer overflow using computed size of canvas element
- CVE-2018-12360
- Use-after-free when using focus()
- CVE-2018-12372
- S/MIME and PGP decryption oracles can be built with HTML emails
- CVE-2018-12373
- S/MIME plaintext can be leaked through HTML reply/forward
- CVE-2018-12362
- Integer overflow in SSSE3 scaler
- CVE-2018-12363
- Use-after-free when appending DOM nodes
- CVE-2018-12364
- CSRF attacks through 307 redirects and NPAPI plugins
- CVE-2018-12365
- Compromised IPC child process can list local filenames
- CVE-2018-12366
- Invalid data handling during QCMS transformations
- CVE-2018-12368
- No warning when opening executable SettingContent-ms files
- CVE-2018-12374
- SameSiteUsing form to exfiltrate encrypted mail part by pressing enter in form field
- CVE-2018-5188
- Memory safety bugs fixed in Firefox 60, Firefox ESR 60.1, Firefox ESR 52.9 and Thunderbird 52.9
既知の問題
- 未解決
- 特定の環境で、添付ファイルの削除あるいは除去を行うとメッセージが破損することがある
Thunderbird 52.9.0 についての一般的な情報は Thunderbird 52.9.0 リリースノート を参照いただきたい。
Thunderbird 52.9.0 は Windows, Mac, Linux 版が用意され、Mozilla ウェブサイトよりダウンロード可能となっている。また、50 以上の言語に対応した各国語版は 各国語版のダウンロード よりダウンロードできる。既存の Thunderbird 5 以降のユーザには自動アップデート経由で通知されるが、ヘルプメニューの “Thunderbird について” より手動でアップデートすることも可能だ。
- ダウンロード:
- Mozilla
- リリースノート:
- Thunderbird 52.9.0 リリースノート
- セキュリティアドバイザリ:
- MFSA 2018-18
- 修正されたバグ:
- Bug Fixes (英語)
