Thunderbird 140.10.1 llega como parche de seguridad urgente para la rama estable

  • 05 May 2026 06:50 PM

El equipo de Thunderbird ha lanzado la versión 140.10.1 ESR, una actualización crítica que corrige una vulnerabilidad de ejecución remota de código (CVE-2026-7323). Disponible desde el 28 de abril de 2026, este parche refuerza la seguridad de la rama de soporte extendido y se recomienda instalar de inmediato en todos los equipos de cómputo que utilicen esta versión del cliente de correo.

La comunidad de desarrollo de Thunderbird ha publicado la versión 140.10.1 de su rama de Soporte Extendido (ESR).

Este lanzamiento responde a la identificación de una vulnerabilidad crítica de seguridad de memoria, presente en las versiones 140.10.0 y 150.0.0, y se suma a un esfuerzo más amplio de parcheo que afecta a múltiples productos de Mozilla.

Una Vulnerabilidad Crítica Corregida

El principal motor de este lanzamiento es la corrección de una vulnerabilidad catalogada como crítica.

La Amenaza: CVE-2026-7323

Se han detectado fallos de seguridad de memoria (Memory safety bugs) en Thunderbird ESR 140.10.0 y Thunderbird 150.0.0.

Según el aviso oficial, "algunos de estos fallos mostraron evidencia de corrupción de memoria y presumimos que con suficiente esfuerzo algunos de ellos podrían haber sido explotados para ejecutar código arbitrario".

En términos prácticos, un atacante podría haber tomado el control remoto del equipo de cómputo de la víctima sin necesidad de interacción por su parte.

El problema ha sido clasificado bajo los estándares CWE-119 (Restricción incorrecta de operaciones dentro de los límites de un búfer de memoria) y CWE-787 (Escritura fuera de los límites).

El Contexto de Seguridad: Un Parche Múltiple

La vulnerabilidad CVE-2026-7323 no es la única que afectaba a esta versión.

En total, múltiples vulnerabilidades han sido corregidas en Thunderbird 140.10.1.

Estas fallas permitían a un atacante provocar:

  • Ejecución remota de código (RCE): La más peligrosa, permitiendo tomar el control total del sistema.

  • Atentado contra la confidencialidad de los datos: Acceso a información sensible del usuario.

  • Contravención de la política de seguridad: Elusión de las medidas de protección del software.

La corrección de este problema se realizó de forma coordinada para todos los productos de Mozilla afectados.

Las versiones seguras son:

  • Thunderbird: 140.10.1 (para la rama ESR) y 150.0.1 (para la rama estándar).

  • Firefox: 150.0.1 y Firefox ESR 140.10.1.

Disponibilidad y Cómo Actualizar

Thunderbird 140.10.1 ya está disponible para su descarga e instalación. Los usuarios pueden actualizar a través de los métodos habituales:

  • Actualización automática: El sistema incorporado de Thunderbird (menú Ayuda > Acerca de Thunderbird) debería notificar y descargar la actualización automáticamente.

  • Descarga manual: Si el sistema no completa la descarga, se puede obtener el instalador más reciente desde el sitio web oficial de Thunderbird, seleccionando el canal "Extended Support Release" y el sistema operativo correspondiente.

La Importancia de la Rama ESR

Thunderbird 140 es la versión de Soporte Extendido (ESR) del cliente de correo, lanzada originalmente en julio de 2025.

A diferencia de la rama estándar (que recibe nuevas funciones cada cuatro semanas), la rama ESR prioriza la estabilidad y recibe principalmente correcciones de seguridad críticas, siendo la opción más fiable para entornos corporativos y administradores de sistemas.

Este ciclo de soporte para la serie 140 ESR se extiende hasta mediados de 2026, por lo que mantenerlo actualizado es fundamental para garantizar la seguridad.

Dado que se trata de un lanzamiento de seguridad que incluye parches críticos, se recomienda a todos los administradores aplicar la actualización con la mayor brevedad posible. Antes de proceder, es fundamental realizar una copia de seguridad completa de los datos del perfil.