すでに攻撃が開始されている致命的な脆弱性を修正した「Thunderbird 91.6.2」が公開

「Thunderbird」v91.6.2

　オープンソースのメールソフト「Thunderbird」の最新版v91.6.2が、3月5日（米国時間）に正式公開された。不具合とセキュリティの修正が中心のメンテナンスアップデートとなっている。

　本バージョンでは、添付ファイルを開いたときの一時ファイルが誰でも閲覧できる（world-readable）権限で保存されていた問題が解決された。また、2件のゼロデイ脆弱性が修正されている。

　深刻度の評価は、いずれも4段階中最高の「Critical」。これらの欠陥を悪用した攻撃が野放しになっているとの報告があり、できるだけ早い対処が必要だ。

• CVE-2022-26485：XSLTパラメーター処理における解放後メモリ利用（use-after-free）
• CVE-2022-26486：WebGPU IPCフレームワークにおける解放後メモリ利用（use-after-free）。サンドボックスのバイパスにつながる可能性

　「Thunderbird」はWindows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、Windows版はWindows 7以降で利用可能。現在、公式サイト「thunderbird.net」からダウンロードできるほか、Windows版は窓の杜ライブラリからもダウンロード可能。すでに利用している場合は、自動更新機能でアップデートされる。