Vulnerabilità in Thunderbird e SeaMonkey

di Fabrizio Sinopoli

Pubblicato 29 Febbraio 2008
Aggiornato 12 Febbraio 2018 20:49

Mozilla ha annunciato una vulnerabilità che affligge due suoi prodotti: Thunderbird e SeaMonkey.

La scoperta del baco è stata fatta da iDefense e si tratta di un classico Buffer Overflow (nell’area dati dello heap), che permetterebbe ad un estraneo di eseguire del codice arbitrario.

La vulnerabilità è causata dall’assegnazione di un buffer che, in certi casi, può essere più piccolo di 3 byte, durante la visualizzazione di un messaggio con un body esterno in formato MIME.

La soluzione caldamente consigliata è l’aggiornamento dei software: le versioni di Thunderbird 2.0.0.12 (rilasciata da pochi giorni) e SeaMonkey 1.1.18 correggono infatti questa vulnerabilità.

In alternativa Mozilla propone un workaround, settando il parametro “mailnews.display.disallow_mime_handlers” ad un valore maggiore o uguale a 3.