Thunderbird 140.11.0 ESR: Parche de Seguridad Crítico con 16 Vulnerabilidades Corregidas y Refuerzo de la Estabilidad
- 21 May 2026 06:44 PM
El proyecto Thunderbird ha lanzado la versión 140.11.0 ESR, una actualización de seguridad prioritaria que cierra 16 vulnerabilidades documentadas, incluyendo dos fallos críticos de corrupción de memoria que podían permitir la ejecución remota de código. Disponible desde el 19 de mayo de 2026, este parche refuerza la rama de soporte extendido con mejoras de estabilidad y protección, consolidándola como la opción más fiable para entornos corporativos y usuarios que priorizan la seguridad en sus equipos de cómputo.
La comunidad de desarrollo de Thunderbird ha publicado la versión 140.11.0 ESR, la undécima actualización de la serie 140 de soporte extendido.
Este lanzamiento, que se enmarca en el ciclo de mantenimiento de la rama ESR, incluye un extenso paquete de parches de seguridad y estabilidad, sin introducir nuevas funcionalidades disruptivas.
16 Vulnerabilidades Corregidas, Dos de Ellas Críticas
La versión 140.11.0 ESR soluciona un total de 16 vulnerabilidades de seguridad, de las cuales dos están clasificadas con el nivel de riesgo "High" (Alto) o superior . La siguiente tabla resume las más críticas:
| CVE | Componente Afectado | Riesgo | Descripción Resumida |
|---|---|---|---|
| CVE-2026-8974 | Seguridad de memoria general | Alto (RCE) | Fallos de corrupción de memoria en Thunderbird 140.10 y 150 que presumiblemente podrían explotarse para ejecutar código arbitrario. |
| CVE-2026-8975 | Seguridad de memoria general | Alto (RCE) | Segundo conjunto de fallos de corrupción de memoria en Thunderbird 140.10 y 150 con potencial para ejecución remota de código. |
| CVE-2026-8946 | Audio/Video: Web Codecs | Alto | Condiciones de límite incorrectas que podían comprometer la confidencialidad de los datos (CVSS 7.5). |
| CVE-2026-8947 | DOM: Bindings (WebIDL) | Alto | Uso después de liberación (Use-after-free) que podía permitir a un atacante ejecutar código arbitrario (CVSS 7.3). |
| CVE-2026-8388 | JavaScript Engine: JIT | Alto | Condiciones de límite incorrectas en el compilador JIT. |
| CVE-2026-8391 | JavaScript Engine | Alto | Otro problema de seguridad en el motor de JavaScript. |
| CVE-2026-8401 | Profile Backup | Alto | Escape del sandbox que podía comprometer el aislamiento del perfil de usuario. |
Los fallos de seguridad de memoria (CVE-2026-8974 y CVE-2026-8975) son particularmente graves.
Según el aviso oficial de Mozilla, "algunos de estos fallos mostraron evidencia de corrupción de memoria y presumimos que con suficiente esfuerzo algunos de ellos podrían haber sido explotados para ejecutar código arbitrario".
Los investigadores Nika Layzell, Andrew McCreight, Tom Schuster y el equipo de fuzzing de Mozilla han sido acreditados por el descubrimiento y reporte de estos fallos.
Aclaración sobre el Riesgo Real en Thunderbird
Los desarrolladores han matizado el alcance real de estas vulnerabilidades en el contexto de Thunderbird.
Según las notas oficiales, "en general, estas vulnerabilidades en Thunderbird no pueden explotarse a través del correo electrónico, ya que la función de scripting está desactivada al leer mensajes".
Sin embargo, representan un riesgo potencial en "contextos de navegador o similares a navegador", por lo que la actualización sigue siendo recomendada para todos los usuarios.
Otras Vulnerabilidades de Nivel Moderado y Bajo
Además de los fallos críticos, la versión 140.11.0 ESR corrige múltiples vulnerabilidades de nivel moderado y bajo que afectan a diversos componentes:
| CVE | Componente Afectado | Riesgo |
|---|---|---|
| CVE-2026-8949 | Widget: Win32 | Moderado (Desbordamiento de entero) |
| CVE-2026-8950 | Networking: HTTP | Moderado (Bypass de política del mismo origen) |
| CVE-2026-8953 | Disability Access APIs | Moderado (Escape de sandbox por use-after-free) |
| CVE-2026-8954 | Audio/Video | Moderado (Condiciones de límite incorrectas, desbordamiento de entero) |
| CVE-2026-8955 | DOM: Workers | Moderado (Escalada de privilegios) |
| CVE-2026-8956 | Networking: JAR | Moderado (Desbordamiento de entero) |
| CVE-2026-8957 | Enterprise Policies | Moderado (Escalada de privilegios) |
| CVE-2026-8958 | Security: Process Sandboxing | Moderado (Fuga de información, escape de sandbox) |
| CVE-2026-8959 | Widget: Win32 | Moderado (Escape de sandbox) |
| CVE-2026-8961 | Form Autofill | Bajo (Spoofing) |
| CVE-2026-8962 | DOM: Security | Bajo (Bypass de mitigación) |
| CVE-2026-8968 | Audio/Video: Web Codecs | Bajo (Denegación de servicio) |
La Rama ESR: Estabilidad y Seguridad para Entornos Corporativos
Thunderbird 140.11.0 ESR pertenece a la rama de Soporte Extendido (ESR) del cliente de correo, diseñada específicamente para:
-
Organizaciones y entornos empresariales que necesitan estabilidad a largo plazo y no pueden permitirse cambios frecuentes
-
Instituciones educativas y administraciones públicas que requieren un comportamiento predecible del software
-
Administradores de sistemas que gestionan despliegues masivos y necesitan ciclos de actualización controlados
La serie 140 ESR, lanzada originalmente en julio de 2025, prioriza la estabilidad y recibe principalmente correcciones de seguridad críticas, siendo la opción más fiable para entornos corporativos.
Las actualizaciones de la rama ESR aseguran un equilibrio entre el progreso y la predictibilidad, permitiendo a los administradores no tener que perseguir constantemente lanzamientos menores repletos de funciones, al tiempo que no se quedan atrás en las correcciones de seguridad críticas.
Disponibilidad y Cómo Actualizar
Thunderbird 140.11.0 ESR ya está disponible para su descarga gratuita a través del sistema de actualización automática del programa y desde el sitio web oficial del proyecto.
Para usuarios existentes de la rama ESR:
-
Actualización automática: El sistema incorporado debería notificar y descargar la actualización automáticamente
-
Descarga manual: Se puede obtener el instalador más reciente desde el sitio web oficial de Thunderbird, seleccionando el canal "Extended Support Release"
Requisitos del sistema (se mantienen inalterados):
-
Windows: Windows 10 o posterior
-
macOS: macOS 10.15 Catalina o posterior
-
Linux: GTK+ 3.14 o superior
Dado que se trata de un lanzamiento de seguridad que incluye parches para vulnerabilidades de ejecución remota de código, se recomienda a todos los administradores y usuarios de la rama ESR aplicar la actualización con carácter prioritario para garantizar la máxima protección de su cliente de correo en sus equipos de cómputo.