Thunderbird 91.3 がリリース:Win 10 Cloud Clipboard に関連する深刻な脆弱性が FIX

Mozilla Thunderbird 91.3 released to fix high impact flaws

2021/11/05 BleepingComputer — Mozilla は Thunderbird 91.3 をリリースし、サービス拒否/発信元の偽装/セキュリティ・ポリシー迂回/任意のコード実行などの、複数の深刻な脆弱性を修正した。新たに発見された脆弱性の大半は、特別に細工された Web サイトを閲覧することで発動するため、比較的容易に悪用することが可能となる。

複数の深刻な欠陥

Mozilla Thunderbird 91.3 では、様々な研究者により発見された、広範囲に及ぶ 10件の脆弱性が修正されている。

  • CVE-2021-38503: iframe bypass restrictions that allow script execution
  • CVE-2021-38504: user-after-free in the file picker dialog, leading to memory corruption and a potentially exploitable crash
  • CVE-2021-38505: Windows 10 Cloud Clipboard sensitive data recording, copying sensitive user data to the user’s Microsoft account, increasing the risk of information disclosure.
  • CVE-2021-38506: Forcing Thunderbird to go into fullscreen mode without user interaction, laying the ground for UI spoofing and phishing attacks.
  • CVE-2021-38507: Bypass the ‘Same-Origin-Policy’ by exploiting the Opportunistic Encryption feature.
  • CVE-2021-38508: Ability to overlay the Permission Prompt to trick the user into granting any permission.
  • CVE-2021-38509: Spoof the JavaScript alert () dialog with arbitrary contents.
  • CVE-2021-38510: Bypass ‘Download Protections’ on .inetloc files, allowing code execution on macOS.
  • MOZ-2021-0008: Use-after-free in HTTP2 Session object, leading to memory corruption and possibly to an exploitable crash.
  • MOZ-2021-0007: Memory corruption flaws that may lead to arbitrary code execution.

脆弱性 CVE-2021-38505 は、Windows 10 Cloud Clipboard に関連するもので、特に注目されている。Windows 10 のクラウド・クリップボード機能は 2018年に導入されたもので、有効にするとクリップボードにコピーしたデータがクラウドに同期され、アカウントを持っている他のデバイスからも利用できるようになる。

機密性の高いデータがクラウドに同期されるのを防ぐため、Microsoft は Windows からクラウドにコピーされない特定のクリップボード形式を導入した。しかし、これらのフォーマットを Thunderbird と Mozilla は使用せず、機密データが同期されてしまう可能性があった。

Mozilla は、「Microsoft が Windows 10 に導入したクラウド・クリップボードという新機能を有効にすると、クリップボードにコピーされたデータがクラウドに記録され、特定のシナリオでは、他のコンピューターでも利用できるようになる。これにより、対象となるユーザーの Microsoft アカウントに機密データが記録される可能性があった」 と説明している。

上記の欠陥は深刻なものである。したがって、このメール・クライアントの Ver 91.3 以降へのアップグレードは、直ちに行うべきだ。また、Ubuntu は Thunderbird について、Linux ディストリビューションに関係する欠陥を通知しており、また、更新されたパッケージを Stable Repository で提供している。

91.x へのアップグレードが遅れている

Mozilla における最新の統計によると、Thunderbird 91.x へのアップデートは 65% にとどまっており、古いバージョンを使用しているユーザーは、脆弱性に晒されている。1ヶ月ほど前に、Mozilla は 78.x から 91.x へのアップグレードを強制し、すべてのユーザーが最新の安定したバージョンのメールクライアントを使用できるようになった。しかし、この2つのメジャーリリースの間には、アドオンの非互換性の問題があるため、多くのユーザーは 78.x を選択しており、セキュリティの観点からは危険な状態になっている。

文中にあるように、Windows 10 Cloud Clipboard に関連するとされる、脆弱性 CVE-2021-38505 は新しいタイプの問題ですね。列挙されている 10件の脆弱性とは別物のようですが、8月6日に「有名どころメール・クライアントにも影響する STARTTLS の脆弱性とは?」という記事をアップしています。ここにも Mozilla Thunderbird は入っていますので、よろしければ、合わせて ど〜ぞ。

%d bloggers like this: