ニュース

「Thunderbird 91.8.0」が公開、「Gmail」でOAuth 2.0への自動移行を実施【4月7日追記】

9件の脆弱性も修正

「Thunderbird」v91.8.0

 オープンソースのメールソフト「Thunderbird」の最新版v91.8.0が、4月5日(米国時間、以下同)に正式公開された。本バージョンでは「Gmail」ユーザーを対象にしたOAuth 2.0への自動移行が行われるため注意したい。

 2022年5月30日以降、ユーザー名とパスワードのみで「Google アカウント」にログインすることを求めるサードパーティー製アプリやデバイス(安全性の低いアプリ)が「Gmail」でサポートされなくなる。今回の措置はそれに備えたものだ。

 なお、「Thunderbird」のOAuth 2.0認証フローが正しく動作するには、Cookieを有効化する必要がある(初期状態では有効)。手動で無効化している場合は、有効化しておくことをお勧めする。

設定画面でCookieの保存を有効化

 それ以外の変更は、不具合の修正となっている。

  • 「Thunderbird」で作成されたOpenPGP ECC鍵を「GnuPG」にインポートできないことがある
  • 「Thunderbird」から複数の公開PGP鍵をエクスポートできない
  • ニュースグループメッセージに返信すると、誤って「noreply」ポップアップ警告が表示されることがある
  • 「mid:」プロトコルのURLをmacOSで開けない
  • 古い形式で保存されたアドレス帳が「SQLite」ファイルとして読み込まれ、クラッシュすることがある
  • 「Thunderbird」をオフラインモードに切り替えると、複製されたLDAPディレクトリが失われる
  • URIの拡張子が「.ics」の場合、コマンドラインからの WebCal のインポートに失敗することがある

 セキュリティ関連の修正は内容がまだ公表されていないが、「Firefox ESR 91.8」とほぼ同じ対策が施されているものと思われる。

 「Thunderbird」はWindows/Mac/Linuxに対応する寄付歓迎のフリーソフトで、Windows版はWindows 7以降で利用可能。現在、公式サイト「thunderbird.net」からダウンロードできるほか、Windows版は窓の杜ライブラリからもダウンロード可能。すでに利用している場合は、自動更新機能でアップデートされる。

[2022年4月7日編集部追記] 「Thunderbird」のセキュリティアドバイザリが更新され、v91.8.0では9件の脆弱性が修正されていることが報告された。内訳は、同社の基準で4段階中2番目に高い「high」が3件、3番目に高い「moderate」が4件、最も低い「low」が2件となっている。