Thunderbird es el popular cliente de correo de la familia Mozilla.

Las vulnerabilidades corregidas son compartidas con Firefox, el cuál también fue actualizado a la versión 2.0.0.5.

Uno de los problemas, es el relacionado con el Internet Explorer, el cuál puede llamar un protocolo URL creado por Firefox (y Thunderbird) al instalarse. En concreto, el protocolo “firefoxurl://” puede ser utilizado con el parámetro “-chrome”, para la ejecución arbitraria de JavaScript en el contexto de los archivos que contienen todos los componentes de la interfase de usuario del programa.

Aunque la explotación puede realizarse a través de Internet Explorer, ello solo es posible si se ha instalado Firefox o Thunderbird en el sistema.

La segunda vulnerabilidad, puede provocar que el programa deje de responder, con la probabilidad de que la memoria resulte corrupta, con lo que podría llegar a ejecutarse código de forma arbitraria. Thunderbird es vulnerable si JavaScript está habilitado en el correo electrónico. Un ataque podría ser posible a partir de un mensaje malicioso.

NOTA: SeaMonkey, la suite de Internet que integra navegador web, cliente de correo electrónico, libreta de contactos, editor de páginas web y cliente de IRC, también fue actualizada a la versión 1.1.3.

Últimas versiones NO vulnerables:

- Thunderbird 2.0.0.5
- SeaMonkey 1.1.3

Descarga de Thunderbird 2.0.0.5 en español:

http://releases.mozilla.org/pub/mozilla.org/thunderbird/releases/2.0.0.5/win32/es-ES/

Descarga de SeaMonkey 1.1.3 en español: