United States Computer Emergency Readiness Team (US-CERT)は1月12日(米国時間)、「Mozilla Releases Security Update for Thunderbird|CISA」において、Thunderbirdに脆弱性が存在し、開発元のMozillaが修正版のThunderbird 78.6.1をリリースしたと伝えた。この脆弱性を悪用されると、攻撃者によって対象のシステムで任意のコードを実行される危険性がある。
脆弱性に関する情報はMozillaによる次のセキュリティアドバイザリにまとめられている。
これによると、Thunderbird 78.6.0以前のバージョンには、SCTPパケットのCOOKIE-ECHOチャンクを処理するコードに解放後のメモリ使用(Use After Free)の脆弱性が含まれており、攻撃者によって任意のコードの実行に悪用されるおそれがあるという。脆弱性の深刻度は最も高い「緊急(Critical)」に分類されており、早急な対策が必要。
Cybersecurity and Infrastructure Security Agency (CISA)は、ユーザーおよび管理者に対し、上記のセキュリティアドバイザリをチェックするとともに、必要なアップデートを適用することを推奨している。