LINUX.ORG.RU

Mozilla Thunderbird 52.5.2

 ,


1

3

Представлено обновление почтового клиента Mozilla Thunderbird 52.5.2 с устранением 5 уязвимостей.

Основные исправления:

  • CVE-2017-7847 — утечка данных об имени пользователи и текущем каталоге посредством манипуляции CSS при просмотре специальных записей из лент RSS;
  • CVE-2017-7846 — возможность исполнения кода JavaScript при чтении лент RSS в режиме web-сайта (установлено по умолчанию);
  • CVE-2017-7829 — возможность подмены адреса отправителя, через указывание символа с нулевым кодом;
  • CVE-2017-7848 — записи RSS могут использоваться для подстановки в тело почтового сообщения символа перевода строки;
  • CVE-2017-7845 — переполнение WebGL-буфера в библиотеке отрисовки ANGLE для Windows, которое проявляется при использовании Direct 3D.

>>> Информация о релизе

>>> Сайт Thunderbird



Проверено: Shaman007 ()
Ответ на: комментарий от Odalist

Затем, что когда у тебя более одного ящика — всё это начинает быть несколько неудобным. Рабочая почта + несколько личных ящиков на разных сервисах и всё это в браузере? No way.

Когда-то давно использовал The Bat, потом перешёл на веб-морду, потом на Thunderbird. Веб только на работе для личных ящиков, если надо что-то проверить с почтой. Ну или для рабочего ящика создать фильтры, чтобы письма от жиры и гитлаба по нужным каталогам раскидывались прямо на сервере.

WereFox ★★ ()
Последнее исправление: WereFox (всего исправлений: 1)
Ответ на: комментарий от WereFox

Затем, что когда у тебя более одного ящика — всё это начинает быть несколько неудобным. Рабочая почта + несколько личных ящиков на разных сервисах и всё это в браузере? No way.

Во-первых в почтовых сервисах есть Qauth, через который можно в одном веб-интерфейсе читать почту с разных ящиков. Во-вторых протоколы POP и IMAP не обновляются, а значит зайти в почту, на которой стоит защита посерьезнее, чем пароль из нескольких бУкВоЦиФр невозможно. А значит можно забыть в том числе и про биометрическую защиту.

Lowes ★★ ()
Ответ на: комментарий от Lowes

Во-первых в почтовых сервисах есть Qauth, через который можно в одном веб-интерфейсе читать почту с разных ящиков

Во-первых, предоставлять доступ разным почтовым сервисам к другим почтовым ящикам я не горю желанием. Во-вторых, давать доступ яндексу и прочим левым конторам доступ к рабочей почте — феерический кретинизм. То же самое касается и обратного.

А значит можно забыть в том числе и про биометрическую защиту.

Насколько я помню, в The Bat биометрия поддерживалась ещё 10 лет назад. Так что если тебе это нужно — всё есть.

WereFox ★★ ()
Ответ на: комментарий от WereFox

Насколько я помню, в The Bat биометрия поддерживалась ещё 10 лет назад. Так что если тебе это нужно — всё есть.

Это немного о другом... В почтовиках это если работало, то так: Локальный биосчитыватель открывает локальный клиент с почтой.Диск с Windows PE-и почта вскрыта. Сейчас же это работает так: Веб-клиент отправляет запрос в моб. приложение моб. устройства с биометрической защитой, и пока моб. устройство не отправит положительный ответ на почтовый сервер, он не даст загрузить почту. Тут уже гораздо более сложная задача, поскольку допуск идёт не у локалхоста с локальными данными, а на сервере.

Lowes ★★ ()
Последнее исправление: Lowes (всего исправлений: 1)
Ответ на: комментарий от Lowes

То есть если вдруг по какой-либо причине у тебя не оказалось под рукой мобильного устройства с средствами биометрической защиты или оно разрядилось — то в почту ты не зайдёшь. Весьма изощрённый способ укусить себя за яйца :)

Кстати, а как в таких случаях настраивается доступ? Вот допустим узнал я пароль от твоей почты и ставлю себе это ваше приложение с биометрией. Ведь, насколько я понимаю, датчики не отдают приложению сам отпечаток, а только лишь говорят «да, это правильный палец, всё ок»?

WereFox ★★ ()

В новость не добавили, поэтому напишу комментарием. Эти ошибки были найдены в результате аудита безопасности, который немного описан тут. Там больше подробностей и информация о состоянии безопасности в Thunderbird в целом.

xaizek ★★★★★ ()
Ответ на: комментарий от Lowes

Локальный биосчитыватель открывает локальный клиент с почтой.Диск с Windows PE-и почта вскрыта. Сейчас же это работает так: Веб-клиент отправляет запрос в моб. приложение моб. устройства с биометрической защитой, и пока моб. устройство не отправит положительный ответ на почтовый сервер, он не даст загрузить почту.

Угу, по IMAP.

handbrake ★★★ ()
Ответ на: комментарий от Lowes

Qauth- нодовская библиотека для OAuth, который тоже к теме никак не относится, забор почты с других сервисов придётся так же настраивать по старинке, IMAP и POP3

Биометрия как защита - ещё хуже чем пароль из буквоцифр, так как сводится к тому же самому статическому секрету, который ещё и нельзя сменить.

MFA, да, не прикрутить к старым протоколам, повышать безопасность получится только прикручиваю поверх взаимную аутентификацию по TLS, тогда можно в уравнение ввести и хардварные криптоключи.

zink ★★ ()
Ответ на: комментарий от Lowes

Веб-клиент отправляет запрос в моб. приложение моб. устройства с биометрической защитой

Каким боком тут биометрия, кроме как для красного словца? Вебсервис отправляет запрос на мобильное устройство и то или даёт ОК или нет. Просто вынос верификации доступа на отдельное устройство.

zink ★★ ()
Ответ на: комментарий от Odalist

Зачем он нужен, если почту в браузере читать можно?

Ну если вам для работы хватает 1 ящика и переписка на уровне «Васян, превед, какдила?», то - да. Хватит и браузера.

DrRulez ()
Ответ на: комментарий от Odalist

Зачем он нужен, если почту в браузере читать можно?

А потом люди жалуются, что приложения на Электроне пишут...

У меня интернет, например, не всегда есть. А почта нужна.

Qasta ()
Последнее исправление: Qasta (всего исправлений: 1)
Ответ на: комментарий от Odalist

И как ты почту без интернета собираешь? Голуби приносят?

До тебя и хотят довести мысль, что в почтовике твоя почта всегда с тобой, вне зависимости от наличия тырнета: очень часто требуется покопаться в старых письмах. Плюс, имеестя такая замечательная вещь, как фильтры.

Erepb ()
Ответ на: комментарий от Erepb

До тебя и хотят довести мысль, что в почтовике твоя почта всегда с тобой, вне зависимости от наличия тырнета: очень часто требуется покопаться в старых письмах. Плюс, имеестя такая замечательная вещь, как фильтры.

да все я понимаю. Я хочу довести мысль, что жирные комбайны ненужны. Есть легковесные альтернативы-Claws Mail, Mutt, Neomutt и т.д.

Odalist ★★★★★ ()
Ответ на: комментарий от Odalist

Есть легковесные альтернативы-Claws Mail, Mutt, Neomutt и т.д.

Ну, это уже ближе к теме и схема «мерзкий браузер vs православный почтовик» трансформируется в «православный почтовик1 vs православный почтовик2».

Erepb ()
Ответ на: комментарий от Odalist

И как ты почту без интернета собираешь? Голуби приносят?

Собирает, когда интернет есть, вестимо. Не у всех мобильный интернет всегда под рукой. Бывает, что дома забрал, по дороге почитал.

AVL2 ★★★★★ ()
Ответ на: комментарий от Odalist

да все я понимаю. Я хочу довести мысль, что жирные комбайны ненужны. Есть легковесные альтернативы-Claws Mail, Mutt, Neomutt и т.д.

Консольный клиент есть гуд, но все таки это особый случай. Claws гореть в аду. Единственный приличный графический почтовик - тундроптица, остальное есть опасная ересь.

AVL2 ★★★★★ ()

Птица действительно очень неплохая. Самое главное для меня лично, что корпоративный ящик с эксченджа нашего смог прикрепить и даже GAL заработал и список событий

saibogo ★★ ()
Ответ на: комментарий от Odalist

Нет, жирные комбайны нужны для организации работы.
С веб-мейлом - не работа, а задр***вание веб-интерфейса.
Древовидные обсуждения, быстрый поиск по заголовкам, нормальное меню по правой кнопке с нужными фильтрами (типа «all from sender»), интеграция с календарём и задачами - в любом случае, web-mail остаётся в лучшем случае на уровне mutt по эргономике. Хотя, весь мир делится на два типа людей - которые знают, зачем нужен MS Outlook, и которые его ненавидят. Вот все, кто знает и умеет работать с аутлуком, те, конечно же, пользуются сабжем (как я слышал, GNOME Evolution всё ещё с досадными багами, не исправленными за 10 лет, что я им не пользуюсь) или набором из KDE.

Shadow ★★★★★ ()
Последнее исправление: Shadow (всего исправлений: 1)
Ответ на: комментарий от Shadow

К сожалению, прошли те времена, когда аутлук был нормаьным клиентом. Нынче это просто жесть, что они сотворили. Один только новый поиск чего стоит...

Я уже вендозникам тандерберд ставлю как единственный вменяемый клиент. К сожалению, темпы его развития околонулевые.

AVL2 ★★★★★ ()

Слава Богу, что TB жив и всё «реет смело и свободно над седым от пены морем» (с) М.Горький.

Конечно, не всегда понятна синхронизация с imap.yandex.ru, но зато есть <название дополнения... что-то типа outlook header>, которое удаляет знак > из писем и даёт возможность применять человеческое цитирование.

И ещё поиск.. Иногда почему-то сложно найти что-либо в почте, используя поиск TB. А в обозревателе всё находится значительно проще.

Sasazuka ()
Ответ на: комментарий от Sasazuka

И ещё поиск.. Иногда почему-то сложно найти что-либо в почте, используя поиск TB.

В смысле?
Строка поиска ищет по заголовкам и отправителю, если не находит - открывает вкладку с поиском по телу.
Есть расширение, чтоб вставлять в поиск префиксы как в gmail

Shadow ★★★★★ ()
Ответ на: комментарий от telikan
Ответ на: комментарий от Lowes

Сейчас же это работает так: Веб-клиент отправляет запрос в моб. приложение моб. устройства с биометрической защитой, и пока моб. устройство не отправит положительный ответ на почтовый сервер, он не даст загрузить почту.

То есть, достаточно получить доступ к мобильнику, что делается очень легко теми, кто этим занимается. Офигетельная защита.

Quasar ★★★★★ ()