Mozilla выпустила обновления безопасности для почтового клиента Thunderbird, закрывающие две уязвимости, одна из которых получила высокий уровень опасности. Проблемы затрагивают работу со сторонними LDAP-серверами и встроенным чатом на базе протоколов Matrix и XMPP. Патчи уже доступны в версиях Thunderbird 140.12.1 и 152.0.1.
Детали уязвимостей
Первая уязвимость, идентифицированная как CVE-2026-57962, связана с механизмом автодополнения адресной книги через LDAP. Если пользователь настроил Thunderbird на обращение к определённому LDAP-серверу, злоумышленник, контролирующий такой сервер, мог передавать клиенту произвольно большие объёмы данных. Это приводило к полному исчерпанию оперативной памяти и аварийному завершению работы приложения. Mozilla оценила степень риска как среднюю, поскольку для эксплуатации требуется направленная атака на конкретного пользователя и его настройки. Тем не менее, последствия сбоя могут нарушить доступ к почте и контактам, что особенно критично для корпоративных пользователей, полагающихся на централизованные каталоги.
Вторая уязвимость, CVE-2026-57963, признана более опасной (уровень high). В Thunderbird встроен клиент для обмена сообщениями через Matrix и XMPP, который поддерживает отображение HTML-контента. Атакующий, способный отправить HTML-сообщение в чат, мог внедрить произвольное стилизованное содержимое, фишинговые ссылки и CSS-код, изменяющий интерфейс. Таким образом злоумышленник мог имитировать элементы управления программы (например, кнопки, диалоговые окна) или перенаправлять пользователя на вредоносные веб-страницы, маскируя их под легитимные запросы. Примечательно, что стандартная электронная почта в Thunderbird не подвержена этой угрозе, так как скриптинг при чтении писем отключён по умолчанию. Однако в среде чата, где HTML обрабатывается, риск действительно высок. Обе уязвимости обнаружены исследователем Майклом Боммарито, который отвечает за их первичное описание в системе отслеживания ошибок Mozilla.
Особенность сложившейся ситуации - уязвимости затронули сразу две ветки Thunderbird: актуальную версию 152.x и предыдущую стабильную ветку 140.x. Это означает, что пользователи, которые не перешли на самую свежую ветку, также получили исправления в версии 140.12.1. Mozilla традиционно поддерживает несколько линеек для корпоративных клиентов, нуждающихся в стабильной среде. Однако если обновление не установлено, версии до 140.12.1 и до 152.0.1 остаются уязвимыми.
Наибольшую угрозу CVE-2026-57963 представляет для сотрудников организаций, использующих Thunderbird как для почтовой переписки, так и для внутренних чатов на основе Matrix или XMPP. Атакующий, имеющий доступ к каналу чата (например, через скомпрометированного участника или внешний мост), может целенаправленно манипулировать интерфейсом клиента, чтобы получить конфиденциальные данные. Риск усиливается тем, что визуальные изменения, вызванные вредоносным CSS, могут быть незаметны неопытному пользователю. CVE-2026-57962 же актуальна для администраторов, использующих LDAP-синхронизацию контактов; хотя атака требует предварительного контроля над LDAP-сервером, сценарий отказа в обслуживании может быть применён для временного вывода из строя рабочих станций.
Mozilla рекомендует как можно скорее установить обновления до версий Thunderbird 140.12.1 или 152.0.1 в зависимости от используемой ветки. Временные меры защиты включают отключение автодополнения адресной книги через недоверенные LDAP-серверы и ограничение использования HTML-сообщений во встроенном чате до установки патча. Выход исправлений подтверждён официальными бюллетенями безопасности mfsa2026-63 и mfsa2026-64 от 30 июня 2026 года. Полные сведения об уязвимости CVE-2026-57962 и CVE-2026-57963 опубликованы на портале CVE.org и в системе багов Mozilla (номера 2042872 и 2042910).
Тенденция к росту атак через встроенные клиенты мессенджеров в почтовых приложениях сохраняется: в последние годы уязвимости, связанные с обработкой HTML-сообщений в чатах, выявляются всё чаще. Производителям приходится балансировать между функциональностью и безопасностью, отключая активный контент по умолчанию, но оставляя возможность его включения через настройки. Пользователям же стоит внимательно относиться к любым ссылкам в чатах, даже если они выглядят как часть интерфейса Thunderbird.
Ссылки
- https://www.mozilla.org/en-US/security/advisories/mfsa2026-63/
- https://www.mozilla.org/en-US/security/advisories/mfsa2026-64/