基于 K-9 Mail 开源项目 Mozilla 确认 Thunderbird 将登陆 Android 平台
Thunderbird 已经有将近 20 年的历史了,Mozilla 似乎将更多的资源重新注入这个项目中,不仅各项开发进度加速进行,而且项目背后的团队也在扩大。Mozilla 现在确认 Thunderbird 将会被移植到 Android 平台。 但想要让 Thunderbird 登陆 Android 平台,并实现所有现有功能,可能需要至少数年的开发和版本更迭。于是,Thunderbird 团队正在采取不同的方法:采用 K-9 Mail for Android。K-9 也是一个开源项目(以《神秘博士》中的机器狗命名),它可能是 Android 上功能最丰富的电子邮件应用,不需要外部服务器或专有服务。 K-9 的维护者 Christian Ketterer(也被称为”cketti”)已经加入了 Thunderbird 的团队。Mozilla 在其公告中说:“Thunderbird 将把财政和开发资源用于改进 K-9 邮件,增加新的功能,以及用户界面的改进”。目标是,一旦取得足够的进展,K-9 邮件将被重新命名为 Android 版 Thunderbird。 Mozilla 目前为 K-9 制定的路线图包括改进文件夹管理,与桌面版 Thunderbird 相同的账户自动配置,消息过滤器,以及使用 Firefox Sync在桌面和移动之间进行某种程度的同步。Thunderbird 的非电子邮件功能(日历、任务、馈送等)不会出现在移动应用中,至少在初期是这样–该团队”仍在讨论如何最好地实现这一点”。 由于 K-9 邮件将在未来几个月内慢慢成为 Android 版 Thunderbird,从技术上讲,你现在就可以通过安装 K-9 获得它。然而,Mozilla 警告人们,随着开发的进展,界面”可能会改变几次”。 Thunderbird 还计划为 iPhone 和 iPad 提供一个应用程序,但目前仍没有(公开)计划。K-9 邮件不能用于 iPhone 和 iPad,所以 Mozilla 将不得不从头开始为 iOS/iPadOS 平台搭建,或者收购/分担另一个移动应用来重塑品牌。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1280529.htm 封面来源于网络,如有侵权请联系删除
Thunderbird 邮件客户端迎来 78.10.2 更新:堵上伪造发件人漏洞
过去几个月,Mozilla 旗下安全电子邮件客户端“雷鸟”(Thunderbird)被曝用纯文本格式保存了一些用户的 OpenPGP 密钥。该漏洞的追踪代号为 CVE-2021-29956,影响从 78.8.1 ~ 78.10.1 之间的软件版本。虽然严重等级较低,但开发者还是努力在新版中实施了修复,同时为 Thunderbird 所使用的加密密钥添加了额外的保护。 几周前,Mozilla E2EE 邮件列表中的用户发现,他们可在无需输入主密码的情况下,直接查看受 OpenPGP 加密保护的电子邮件。而按照正常的功能逻辑,查看前是必须先进行用户身份验证的。 受该缺陷影响,本地攻击者将可通过查看和复制这些 OpenPGP 密钥来伪造发件人,并悄悄地向其联系人发送不为用户所知的电子邮件。 在最新的安全公告中,Mozilla 提供了有关 CVE-2021-29956 漏洞的更多细节,以及他们是如何在 Thunderbird 78.10.2 版本中修复该漏洞的。 使用 78.8.1 ~ 78.10.1 版本的 Thunderbird 邮件客户端的用户,其 OpenPGP 密钥未能通过加密存储的方式留在本地磁盘上,并导致主密码保护功能失效。 不过在 78.10.2 版本中,Thunderbird 已经恢复了新导入密钥的保护机制,并将自动保护从受影响的旧版本上导入的 OpenPGP 密钥。 Mozilla Thunderbird 项目团队软件开发者 Kai Engert 在接受 The Register 采访时给出了相关解释: 一旦用户配置了主密码,那在 Firefox / Thunderbird 首次存储任何机密内容时,系统都将提示用户输入密码。 若输入正确,则相应的密钥将在会话期间维持被记住和解锁的状态,并且可根据需要来解锁任何受保护的加密内容。 不过现在,Thunderbird 电子邮件客户端已经过了重新编写。为避免保护 OpenPGP 密钥,Mozilla 建议大家立即将 Thunderbird 升级到最新的 78.10.2 版本。 (消息及封面来源:cnBeta)
“雷鸟”安全飞行:Mozilla 修复 Thunderbird 高危漏洞
据外媒 12 月 26 日报道,Mozilla 近期为其流行的开源 Thunderbird (”雷鸟 “)电子邮件客户端发布了重要安全更新,解决了其 RSS 和客户端中的缓冲区溢出漏洞、用户信息泄露、假冒邮件地址等问题。 Mozilla 于 12 月份发布了五个漏洞修补程序,以下内容为漏洞的具体信息。 CVE -2017-7845(危急) 运行在 Windows 操作系统上的 Thunderbird 的关键缓冲区溢出漏洞,是五个漏洞中最为严重的一个。Mozilla 公告显示,在使用 Direct 3D 9 和 ANGLE 图形库(用于 WebGL 内容)绘制和验证元素时会发生缓冲区溢出,因为检查期间在库中传递的值不正确导致了潜在可利用的崩溃。不过这一漏洞仅影响 Windows 操作系统,其他系统不受影响。 CVE-2017-7846(高危) 存在于雷鸟 RSS 阅读器中。通过网站查看 RSS Feed 时,例如通过 “View – > Feed article – > Website” 或标准格式的 “View – > Feed article – > default format”查看内容时,可以在解析的 RSS Feed 中执行 JavaScript 代码 。 CVE-2017-7847(高危) 在 RSS Feed 中制作的 CSS 可能会泄露并显示包含用户名的本地路径字符串。 CVE-2017-7848(中等) RSS 字段可以在创建的电子邮件结构中注入新行,修改消息正文。。 CVE -2017-7829(低) 假冒发件人的电子邮件地址,向电子邮件收件人显示任意的发件人地址。Mozilla 解释若在显示字符串中以空字符开头,那么真正的发件人地址将不会被显示出来。 今年早些时候,Mozilla 表示将更新雷鸟的用户界面,并将其与 Firefox 浏览器更加紧密地结合,逐步取消对 XUL 和 XPCOM api 上构建的传统组件的支持。 消息来源:threatpost,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。