Publicada la versión final del cliente de correo Thunderbird 1.5

l problema de seguridad afecta a usuarios de Linux, y ya había sido corregido en la versión 1.0.7, pero no en las 1.5 betas. El mismo está relacionado con la interpretación de ciertos URL, y ya había sido solucionado en otros productos Mozilla (incluidos Firefox y Mozilla Suite).

La vulnerabilidad permite que un URL malicioso pueda ser utilizado para ejecutar comandos a nivel de consola, con los privilegios del usuario actual.

URL (Uniform Resources Locator o Localizador Uniforme de Recursos), es una estandarización de recursos que permite encontrar determinadas direcciones. Dicho de otra manera, se trata de un "apuntador" a la ubicación de cualquier archivo, como por ejemplo una página HTML.

Otros problemas menores, desde simplemente cosméticos hasta crashes del programa o consumo excesivo de memoria en algunos escenarios concretos, también fueron solucionados.


Software vulnerable:

- Thunderbird 0.9
- Thunderbird 1.0
- Thunderbird 1.0.2
- Thunderbird 1.0.5
- Thunderbird 1.0.6
- Thunderbird 1.5 Beta 1

Software NO vulnerable:

- Thunderbird 1.0.7
- Thunderbird 1.5


Solución

Actualizarse a las versiones no vulnerables, desde los siguientes enlaces:

Mozilla Thunderbird 1.5 o superior
http://www.mozilla-europe.org/es/products/thunderbird/


Relacionados

Thunderbird
http://www.mozilla-europe.org/es/products/thunderbird/

Thunderbird
http://www.mozilla.org/products/thunderbird/


Más información

URLs passed on the command line are parsed by the shell (bash)
https://bugzilla.mozilla.org/show_bug.cgi?id=307185

Firefox Command Line URL Shell Command Injection
http://secunia.com/advisories/16869/