Topic: Ultime novità su Thunderbird

[croma.to]

Considerato che gli scenari 2 e 3 (relativi alla firma) sono altamente improbabili, il primo caso è quello che potrebbe essere sfruttato per 'attaccare', inviando alla vittima una mail il cui contenuto induce la vittima a rispondere o inoltrare la mail stessa .

Il bug mostra come sia possibile eseguire del codice arbitrario su Thunderbird.
Se guardi il primo esempio di payload

PHNjcmlwdD5hbGVydCgiTW96aWxsYS1UaHVuZGVyYmlyZC1TY3JpcHQtQ29kZS1JbmplY3Rpb24tUE9DLUF0ZWVxLUtoYW4iKTs8L3NjcmlwdD4=

non è altro che codice javascript codificato in base64

<script>alert("Mozilla-Thunderbird-Script-Code-Injection-POC-Ateeq-Khan");</script>

che, in questo caso, è relativo alla richiesta di apertura di un popup (alert) contenente il testo Mozilla-Thunderbird.......

Ovviamente, il problema sta nel fatto che il codice javascript può essere qualsiasi e potrebbe 'toccare' un eventuale baco del motore javascript che consente di prendere possesso della macchina

Ora, il buon senso mi dice che normalmente evitiamo di rispondere o inoltrare le mail di phishing (o simili) che giornalmente superano l'antivirus ed il filtro antispam, per cui la possibilità che un attaco di questo tipo possa andare a buon fine è, secondo me, 'limitata'.

Se proprio vuoi stare tranquillo, puoi utilizzare l'ultima versione stabile di thunderbird che non presenta questo problema (come anche indicato nei post di bugzilla).

Se vuoi continuare ad usare TB 17, puoi disabilitare la composizione in html (anche se questo è un pò limitante) per evitare il problema


croma.to
   

[deckard]

[...]Se vuoi continuare ad usare TB 17, puoi disabilitare la composizione in html (anche se questo è un pò limitante) per evitare il problema

A dire il vero disabilitare la composizione in html è un consiglio che molti danno per la sicurezza ed è applicabile al di là del programma utilizzato e della versione in uso.
Chiudo l'OT dicendo che Paolo Attivissimo nel dodecalogo di sicurezza informatica indica "Rifiutate la posta in formato HTML e non mandatela agli altri. Usate il testo semplice, molto più sicuro." nel senso che la posta in formato HTML (quella che consente grassetti, corsivi e altri effetti speciali) può veicolare contenuti pericolosi (virus, worm, truffe eccetera) che possono essere eseguiti automaticamente, senza che sia necessario aprire allegati. E questa sembra essere una delle dimostrazioni.

[Geko]

Scusate la domanda veloce,ma giusto per ricapitolare:la versione ESR di fatto non esiste più in Thunderbird 24 ? In altri termini,volendo aggiornare  all'ultima versione,esiste ora una sola possibilità,ovvero la 24.2.0?

[Iceberg]

L'aggiornamento è avvenuto in quanto Thunderbird 24.2.0 è anche ESR.
Non c'è più distinzione, i due canali si sono fusi.
Thunderbird è solo ESR e pertanto non riporta più questa indicazione distintiva.
Aggiornare Thunderbird 17.0.11 ESR vuol dire passare a Thunderbird 24.2.0 (ESR sottinteso).

http://www.ghacks.net/2013/09/07/mozilla-will-merge-thunderbird-stable-esr-releases-near-future/

Nel contesto:
http://forum.mozillaitalia.org/index.php?topic=60130.msg407722#msg407722

[Geko]

Grazie,mi ero perso gli ultimi sviluppi

[gialloporpora]

Secondo me, ma è un'opinione personale, non credo che disattivare HTML sia la soluzione, se uno vuole scrivere in HTML deve poterlo fare. Questo è un bug, la soluzione è (come mi sembra abbiano fatto) risolverlo.
Nella composizione HTML standard in ogni caso non dovrebbe essere inclusa l'esecuzione di codice JS, si tratta proprio di qualcosa di sbagliato.

[deckard]

Ognuno è libero di fare come crede, sia bene inteso. Il testo semplice non è un obbligo di legge. Come nessuno può obbligarmi a usare o ad accettare il formato html. Il dodecalogo che ho citato non è stato scritto da uno che passava lì per caso... poi anche la mia è solo una opinione che essere anche cestinata oltre che non condivisa

Inviato dal mio Nexus 7 utilizzando Tapatalk

[Geko]

Io concordo con gialloporpora,se uno vuole disattivare html per sua scelta personale,per avere un ulteriore margine di sicurezza a prescindere,ben venga:ma d'altra parte l'uso del formato html nei messaggi è utile secondo me,e dovrebbe comunque essere possibile usarlo con sicurezza,sempre calcolando il rischio di nuovi exploit.
E questo è il punto,sempre secondo me:questa falla di sicurezza,a vedere il bug,si sta trascinando da mesi (Reported: 2013-05-24 ) e non credo-ma posso sbagliarmi-che una tale vulnerabilità in Firefox si sarebbe protratta così a lungo.
Insomma a mio giudizio la disparità di trattamento tra Firefox e Thunderbird si vede,come spesso fa notare miki64,ed è una vera ingiustizia considerando che si tratta di un eccellente client per email,meriterebbe veramente più attenzione.
Visto che mi trovo,dico anche che gradirei (molto) vedere meno  integrazione per servizi "social" ed altre amenità simili,e più attenzione per la sicurezza.

[croma.to]

un pò di movimento .....

Marketing for Thunderbird : https://groups.google.com/forum/#!topic/tb-planning/43R4yQGkrsY

croma.to

[dest]

Tempo fa si leggeva della possibilità di archiviare le mail con il sistema maildir in modo da avere 1file per 1mail (una manna dal cielo per tutti i sistemi di backup incrementale)  l'opzione è ancora nascosta e sperimentale... per non parlare della possibilità di usare filtri concatenati con operatori logici :/

Ora che internet inizia ad essere veramente a portata di tutti con questa marea di dispositivi portatili, con la diffusione di praticamente infiniti sistemi di cloud storage e con altrettanti sistemi alternativi di comunicazione... ci sarebbe davvero il caso di un profondo cambiamento per thunderbird altrimenti rischia seriamente l'abbandono! :/
Possibile che dal progetto opensource non sia nato un fork che abbia seriamente cercato di resuscitare e rivoluzionare il progetto?

[miki64]

Dest, in un altro post il nostro klades evidenziò tempo fa  le differenze tra le due soluzioni di formato della posta, probabilmente tu riesci solo a vederne dei vantaggi ma ci saranno anche degli svantaggi.
Più che rischiare l'abbandono il nostro Thunderbird forse rischia proprio la posta elettronica di venire abbandonata, assalita da sistemi di comunicazione (chat, social network e videomessaggi vari) molto più apprezzati dagli utenti?
Non lo so, io apprezzo tantissimo la posta elettronica e non so che direzione prenderà tutto il sistema nei prossimi anni.
Thunderbird rimane un ottimo programma per la gestione di questo tipo di informazioni e soprattutto adesso che siamo sempre più un riferimento per decine e decine di utenti italiani che ci chiedono aiuto per la migrazione sistema Microsoft → Thunderbird io ritengo che la comunità di Mozilla dovrebbe fare uno sforzo per rivoluzionare, ammodernare e "resuscitare" il progetto.

Un esempio banale?
Mettere di default la possibilità di ospitare gli allegati su un server sicuro di storage appena si fa clic sull'icona della graffetta, senza stare più lì ad allegare MB e MB di roba pesante...
Basterebbero poche semplici cose, vedi una chat funzionante oppure cose magari ispirate ad applicazioni come Uozzapp per rendere Thunderbird davvero appetibile... 

Ah, detto tra noi... non per polemica, ehm... ehm... Sto notando sempre di più che chi ci chiede aiuto nella sezione di Thunderbird ha come browser Chrome e non Firefox... Ehm... A nessuno viene in mente che se va bene Thunderbird poi va bene anche Firefox? 


edit: ma in che forma italiana ho scritto il presente post? Chiedo scusa...  Ma la mia connessione oggi va e viene e non riesco a correggere nulla...

[Underpass]

Non lo so, io apprezzo tantissimo la posta elettronica e non so che direzione prenderà tutto il sistema nei prossimi anni.

Secondo me la posta elettronica non sparirà ma diventerà quasi come la corrispondenza cartacea: qualcosa di sempre più formale, al quale affidare informazioni più importanti di ciò che si trasmette con i sistemi di messaggistica. Magari ancora molto usato in ambito lavorativo (in cui magari si ha necessità di conservare lo storico della corrispondenza) e molto meno usato dall'utente comune (che obiettivamente non è molto invogliato a spedire un'email dallo smartphone - dal momento che deve configurare IMAP, SMTP ecc. ecc.).

[miki64]

Sì, sicuramente l'evoluzione è quella.
Eppure ho visto tante persone passare improvvisamente da Outlook Express, Incredimail e simili a Thunderbird col passare del tempo. Ho visto tante persone abbandonare l'onnipresente MS Messenger per le chat di Facebook. E ho visto pure dei paranoici passare subito da Uozzapp a Telegram appena saputa la notizia dell'acquisizione di Facebook... mi incuriosisce sapere se succederà un qualcosa che permetterà una maggiore diffusione della posta elettronica (che so, magari tutti i giapponesi abbandoneranno i telefax e passeranno alle e-mail, la nostra P.A. italiana abbandonerà cablogrammi, fonogrammi, telegrammi, posta pneumatica, PEC e fax in favore di un protocollo SSL... o magari qualcuno inventerà un'APP MAGICA: metti username e password nel tuo client e quello automaticamente configurerà i protocolli senza errori, cosa tentata già da Thunderbird).

[Winfox]

o magari qualcuno inventerà un'APP MAGICA: metti username e password nel tuo client e quello automaticamente configurerà i protocolli senza errori, cosa tentata già da Thunderbird)[/i].

Quello sarebbe veramente fantastico anche se irrealizzabile.
Sul lungo periodo non saprei, certamente nel breve ci sarebbero molte possibilità che, in teoria, si potrebbero già implementare con gli addon
Purtroppo vedo poco fermento anche qui (anche se su FF molti addon sono necessari a riportare funzioni eliminate nel tempo)

[dest]

Ecco forse il punto è proprio questo... l'email con il passare del tempo sta diventando uno strumento di "lavoro" quindi adattarlo ad un uso più professionale che sociale (puntando su migliori filtri, storico conversazioni, migrazioni e backup avanzati), questa potrebbe essere la strada giusta per tenerlo in vita! Fatto sta che il programma da solo è davvero scarno, se non fosse per la valanga di estensioni disponibili (molte delle quali anch'esse abbandonate da tempo ma, fortunatamente, compatibili se forzate nella loro installazione).