Thunderbird 91.5.0 Stable 是一个安全更新,解决了开源电子邮件客户端中的几个问题。
新版本的 Thunderbird Stable 已经可用。它被推送到用户系统,前提是没有禁用自动更新。
Thunderbird 用户可以手动检查更新以提前安装更新。选择帮助 > 关于 Thunderbird 以显示已安装的版本并让 Thunderbird 手动检查更新。没有看到菜单栏的用户需要按键盘上的 Alt 键才能显示它。
官方发布说明只列出了三个条目:两个是指电子邮件客户端中已修复的问题,一个是指向安全公告页面的链接,该页面详细说明了客户端中已修复的安全问题。
已修复的两个非安全问题解决了 RSS 关键字标签的显示问题和 Thunderbird 的关于对话框页面上缺少信息。
Thunderbird 91.5的安全建议页面列出了 14 个安全问题,其中许多来自 Thunderbird 与 Firefox 网络浏览器共享的代码。
所有漏洞的最高严重等级为高,仅次于严重等级。以下是新 Thunderbird 版本中修补的安全问题的完整列表:
- CVE-2022-22746:调用 reportValidity 可能导致全屏窗口欺骗
- CVE-2022-22743:使用全屏模式的浏览器窗口欺骗
- CVE-2022-22742:在编辑模式下插入文本时内存访问越界
- CVE-2022-22741:使用全屏模式的浏览器窗口欺骗
- CVE-2022-22740:ChannelEventQueue::mOwner 释放后使用
- CVE-2022-22738:blendGaussianBlur 中的堆缓冲区溢出
- CVE-2022-22737:播放音频文件时的竞争条件
- CVE-2021-4140:使用 XSLT 绕过 iframe 沙箱
- CVE-2022-22748:外部协议启动对话框中的欺骗来源
- CVE-2022-22745:通过 securitypolicyviolation 事件泄露跨域 URL
- CVE-2022-22744:DevTools 中的“复制为 curl”功能没有完全转义网站控制的数据,可能导致命令注入
- CVE-2022-22747:处理空 pkcs7 序列时崩溃
- CVE-2022-22739:外部协议启动对话框中缺少限制
- CVE-2022-22751:Thunderbird 91.5 中修复的内存安全漏洞
现在你:你使用 Thunderbird 吗?您希望看到什么支持?