ニュース

「Thunderbird」に「影響大」の脆弱性、v102.2.1への更新を

起動時にカレンダーを開く起動オプションも実装される

「Thunderbird」v102.2.1

 オープンソースのメールソフト「Thunderbird」v102.2.1が、9月1日(米国時間)に公開された。影響力の大きいセキュリティ修正が含まれているとして、開発チームはアップデートを呼び掛けている。

 「Thunderbird 102.2.1」では、起動時にカレンダーを開くオプション(-calendar)を追加。アカウント設定時にアドレス帳とカレンダーが自動検出されると、それと接続するためのボタンが表示されるようになった。

 そのほかは不具合の修正となっている。

 セキュリティ関連の修正は、全部で4件。深刻度の内訳は、Mozillaの基準で4段階中2番目の「High」が1件、3番目の「Moderate」が3件。

 とくに注意すべきなのが深刻度「High」の脆弱性「CVE-2022-3033」で、細工が施されたHTMLメールに返信する際、リモートコンテンツをブロックする設定に関係なくメールに含まれるURLへネットワークリクエストが開始されてしまう可能性がある。最悪の場合、メッセージに含まれるJavaScriptを実行できてしまうという。

 [表示]-[メッセージの表示形式]メニューのオプションが[シンプル HTML]か[プレーンテキスト]になっていればこの脆弱性の影響を受けないが、初期設定では[オリジナル HTML]となっている。なんらかの理由でアップデートができない場合は、この設定を見直すべきだ。

[表示]-[メッセージの表示形式]メニュー。メニューバーを表示させるには、[Alt]キーを押す必要がある。画面右上のハンバーガーメニューからもアクセス可能

 「Thunderbird」はWindows/Mac/Linuxに対応する寄付歓迎のフリーソフトで、Windows版はWindows 7以降で利用可能。現在、公式サイト「thunderbird.net」からダウンロードできる。Windows版は窓の杜ライブラリからもダウンロード可能。すでに利用している場合は、自動更新機能でアップデートできる。