В версии 2.0.0.12 браузера Firefox, которая увидела свет 7 февраля нынешнего года, были обнаружены и закрыты три критические бреши и еще семь менее опасных. По информации консультантов в области безопасности, многие из подобных проблем устранены и в клиенте электронной почты Thunderbird 2.0.0.12, но мы, к сожалению, этой его версии пока не видели.

Об улучшении защищенности Firefox 2.0.0.12 стало известно из пресс-релиза Mozilla Foundation, а в документе MFSA (Mozilla Foundation Security Advisory — доклад Mozilla Foundation в области безопасности) можно прочесть, что эти же самые бреши устранены и в клиенте Thunderbird 2.0.0.12.

К критичным брешам в Firefox и Thunderbird 2.0.0.12 в обеих публикациях отнесены: MFSA 2008-01 (зависание при обнаружении сбоев в памяти) и MFSA 2008-03 (расширение привилегий, межсайтовый скриптинг, дистанционное исполнение кодов). Кроме них в Thunderbird 2.0.0.12 устранена серьезная брешь MFSA 2008-05 (связи каталогов через URI) и еще одна средней тяжести под названием MFSA 2008-08 (нарушение диалогового окна управления файлами). Все эти слабые места уходят корнями в Gecko — механизм обработки JavaScript в браузерных компонентах Firefox и Thunderbird. Точнее говоря, они связаны с ошибками обработки JavaScript.

Закрыть такие бреши можно было бы простым методом — вообще не включать в Thunderbird поддержку JavaScript. Это ведь в конце концов клиент e-mail, а не Web-браузер, которому порой приходится подключаться к Web-страницам на базе JavaScript. А в HTML-сообщениях электронной почты, как известно, вызовы JavaScript если и встречаются, то крайне редко. И то, что Mozilla сообщает об избавлении от таких проблем никому неизвестной версии, даже настораживает. Напомним, что текущая версия Thunderbird имеет номер 2.0.0.9. Сотрудники DesktopLinux.com попытались 8 февраля связаться с Mozilla Foundation и получить хоть какие-то разъяснения по этому вопросу, однако вплоть до полудня 11 февраля ответа от организации не получили.

Опасения по поводу того, что Thunderbird не входит в приоритеты Mozilla, высказывались давно. Еще в сентябре 2007 г. эта организация объявила о намерении передать свой почтовый клиент в другую, специально созданную под него компанию MailCo. А несколько недель спустя из Mozilla уволился Скотт Мак-Грегор, один из двух ведущих разработчиков Thunderbird, что еще больше распалило подозрения пользователей. Начали бродить упорные слухи, что Mozilla хочет не столько совершенствовать Thunderbird, сколько избавиться от него.

За прошедшее с тех пор время MailCo все еще не появилась на свет. Ее организацией занимается сейчас доктор Дэвид Эшер, бывший главный инженер и вице-президент ActiveState, являющийся также директором Python Software Foundation. В своем блоге он сообщил 15 января, что вскоре у него появится и помощник -- Дэн Моусдейл, который присоединится к проекту, как только закончит работу над Firefox 3.

Судя по этим заметкам в блоге, MailCo откроет свои двери не раньше чем через несколько месяцев. Пока же, похоже, работа над Thunderbird замерла. Если, конечно, не считать совершенно непонятных известий о борьбе с брешами безопасности в широко распространенном клиенте электронной почты.