「Thunderbird」に添付ファイルの拡張子を偽装できる脆弱性、実行ファイルがただの文書ファイルに

「Thunderbird」v102.13.1が公開

　オープンソースのメールソフト「Thunderbird」v102.13.1が、7月26日（米国時間）に公開された。脆弱性を修正したセキュリティアップデートとなっている。

　本バージョンでは、文字表記の方向を上書き設定するUnicode制御文字を利用したファイル拡張子のなりすまし（CVE-2023-3417）が対処された。「Thunderbird」では添付ファイルの名前でこの種の制御文字が許可されており、実際には実行可能ファイルであるにもかかわらずドキュメントファイルとして偽装できるようになっていたという。

　深刻度の評価は、4段階中上から3番目の「Moderate」。修正版ではこの文字が削除され、正しいファイル拡張子が表示されるようになっているとのこと。

　「Thunderbird」はWindows/Mac/Linuxに対応する寄付歓迎のフリーソフトで、Windows版はWindows 7以降で利用可能。

　なお、「Thunderbird 115」がリリース済みだが、「Thunderbird 102」からの自動更新はまだ提供されていない。「Thunderbird 115」を試したい場合は、「thunderbird.net」からインストーラーをダウンロードし、手動でアップデートする必要がある。

［2023年7月26日17:55編集部追記］ 「Thunderbird 115」にも同様の脆弱性が存在したが、20日付で公開されたv115.0.1で修正済みだ。