Mozillaは2018年11月1日(現地時間10月31日)、Windows PC、MacおよびLinux向けメールクライアントThunderbirdの最新バージョン「Thunderbird 60.3.0」をリリースしました。
「Thunderbird 60.0」では、「Firefox Quantum」で採用された“Photon”デザインが導入され、外観がFirefoxと共通となりました。また、Thunderbird 60.0はFirefox 60と同じレンダリングエンジン「Gecko 60」を搭載しており、バックエンドもFirefox 60相当となっています。
タブの外観変更をはじめ、「Light」と「Dark」の2種類のテーマ選択や、WebExtensionテーマの有効化もできるようになっています。また、チャット画面のテーマも複数用意されています。そのほかにも数多くの新機能や修正、変更が行われています。
今回の「Thunderbird 60.3.0」最新版アップデートでは、さまざまなテーマで、色や背景などが正しく表示されない問題をはじめ、Macでのアドオンオプションメニューが動作しない問題、「テンプレートの編集」コマンドに関する問題など数多くの不具合やバグについて対処しています。
Thunderbird 60.3.0リリース ノート
修正
- 適切ではない色や背景が表示されてしまうテーマに関する問題を修正
- macOS: アドオンの設定メニューが機能しない問題を修正
- メッセージ作成ウインドウにおける Shift+PageUp/PageDown に関する問題を修正
- メッセージ作成ウインドウにおいてコンテンツの保存を行っても既存のファイルが上書きされない問題を修正
- 「テンプレートを編集」コマンドに関する問題を修正
- グローバルデータベースにおける添付ファイルのフィルタリングに関する問題を修正
- メーリングリストのアドレスの自動補完に関する問題を修正
- HTML 署名が存在しない画像を参照しているとクラッシュする問題を修正
- 複数存在するヘッダーに対するフィルターが機能しない問題を修正
既知の問題
- メッセージ作成ウインドウにおいて単語をダブルクリックすると、詳細プロパティあるいはリンクのプロパティが開いてしまうことがある
- いくつかのサーバーへの CalDav アクセスが機能しない。network.cookie.same-site.enabled を false とすることで回避できる
- チャット: Twitter.com での API の変更により、Twitter が機能しない (近日中に解決の見込み)
セキュリティ修正
今回のアップデートでのセキュリティ問題についての修正は合計14件で、重要度区分「最高(critical)」1件、「高(high)」3件、そして「低(low)」1件の修正が行われています。
- [critical]CVE-2018-12390: Memory safety bugs fixed in Firefox 63, Firefox ESR 60.3, and Thunderbird 60.3
- [high]CVE-2018-12391: HTTP Live Stream audio data is accessible cross-origin
During HTTP Live Stream playback on Firefox for Android, audio data can be accessed across origins in violation of security policies. Because the problem is in the underlying Android service, this issue is addressed by treating all HLS streams as cross-origin and opaque to access.
Note: this issue only affects Firefox for Android. Desktop versions of Firefox are unaffected. - [high]CVE-2018-12392: Crash with nested event loops
When manipulating user events in nested loops while opening a document through script, it is possible to trigger a potentially exploitable crash due to poor event handling. - [high]CVE-2018-12393: Integer overflow during Unicode conversion while loading JavaScript
A potential vulnerability was found in 32-bit builds where an integer overflow during the conversion of scripts to an internal UTF-16 representation could result in allocating a buffer too small for the conversion. This leads to a possible out-of-bounds write.
Note: 64-bit builds are not vulnerable to this issue. - [low]CVE-2018-12389: Memory safety bugs fixed in Firefox ESR 60.3 and Thunderbird 60.3
Mozilla developers and community members Daniel Veditz and Philipp reported memory safety bugs present in Firefox ESR 60.2. Some of these bugs showed evidence of memory corruption and we presume that with enough effort that some of these could be exploited to run arbitrary code.
なお、Windows、Mac、Linux向けメールクライアント「Thunderbird」の最新バージョンは、既存のすべてのユーザーは自動的にアップデートすることが出来ます。ただ、既存のThunderbird 5以降からの自動アップデートは停止されているので、以下のように新規ダウンロードを行う必要があります。
また、新規にダウンロードする場合などでは、MozillaのThunderbirdダウンロードサイトからダウンロードすることができます。
