Ejecución de código javascript en Thunderbird

SeguridadVirus

Se ha confirmado la existencia de una vulnerabilidad en la forma en que Thunderbird interpreta los scripts de javascript, y que puede permitir a atacantes remotos ejecutar código script o provocar la caída del navegador.

Mozilla es un entorno de código abierto multiplataforma, de gran calidad, nacido a partir de una iniciativa de Netscape. Mientras que Firefox es el navegador web del proyecto Mozilla, Thunderbird es el cliente de correo y RSS.

El motor de interpretación de WYSIWYG de Thunderbird filtra de forma inadecuada los scripts de javascript. Es posible escribir javascript en el atributo SRC de etiquetas IFRAME. Esto puede ejecutarse cuando el correo es editado (por ejemplo respondiendo a un mensaje) incluso si javascript está deshabilitado en las preferencias.

Si se explota el error puede revelar información sensible o provocar la parada inesperada del navegador. Se han publicado scripts de demostración como prueba de concepto.

Se recomienda actualizar a la versión 1.5 http://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/1.5/