Bug 1968012 上げました。
すぐに SECURITY ISSUE になって一般の人は閲覧できなくなりました。
まあ、もっと早くに気づいてたけどその時には Bug 1966256 はクローズされて NeedInfo 貰わないと書き込めなかったし、.2 リリース遅らせたくなかったので仕方ないよね。
しかし、コードレビューだけで実際にテストしてなかったんだね、いいの？そんなことで…

SUPERJET さん、ありがとうございます。
私のテスト環境が同一PC内の仮想Ubuntuのsambaサーバーでやっていたので確信が持てなかったのですが、バグ報告出したいと思います。

[quote="EarlgreyTea"]SUPERJET さん、ご協力ありがとうございます。
可能でしたら、さらに確認してほしいことがあるのですがよろしいでしょうか。

テスト用にローカルにプロファイルを作成し、それのアカウント設定＞サーバー設定にて、メッセージの保存先をIPアドレス指定の共有サーバーのフォルダーにして試してほしいです。
プロファイル内の場合は無条件で許可されますが、プロファイル外でホスト名ならブロックされるロジックになっていますのでそのテストになります。

なお、形式上のチェックのみなのでプライベートIP/グローバルIPの区別はされていません。[/quote]

ご依頼頂きました点について
アカウント設定＞サーバー設定にて、メッセージの保存先をIPアドレス指定の共有サーバーのフォルダー
(\\<IPアドレス>\temp\Mailbox)に指定してみました。Inbox,Trashなどのファイルが共有フォルダー
に作成されることを確認したうえで試してみましたが

Ver.128.10.1：表示されない
Ver.128.10.2：表示される

という結果になりプロファイル外の場所でもブロックされず表示されました。
(\\<ホスト名>\temp\Mailbox)の場合も結果は同じでした。
またVer.139.0b3→Ver139.0.b4のパターンも上記と同様に試してみましたが結果は変わりませんでした。

SUPERJET さん、ご協力ありがとうございます。
可能でしたら、さらに確認してほしいことがあるのですがよろしいでしょうか。

テスト用にローカルにプロファイルを作成し、それのアカウント設定＞サーバー設定にて、メッセージの保存先をIPアドレス指定の共有サーバーのフォルダーにして試してほしいです。
プロファイル内の場合は無条件で許可されますが、プロファイル外でホスト名ならブロックされるロジックになっていますのでそのテストになります。

なお、形式上のチェックのみなのでプライベートIP/グローバルIPの区別はされていないはずです。

[quote="EarlgreyTea"][quote="SUPERJET"]Ver.128.10.2が正式リリースされたようですので私の方でも実際にアップデートを行って改善されることを確認しました。[/quote]
UNCパス指定のホスト名部分は「.」を含まない単一名でしょうか？それともIPアドレスやドメイン付きの名前でしょうか？
後者なのに大丈夫な場合、セキュリティ修正が台無しになった可能性があります。[/quote]

実際に確認した際のUNCパス指定のホスト名部分は「.」を含まない単一名でした。
私が記載した再現手順に記載した(UNCパス 例：\\<IPアドレス>\TBProfile))のIPアドレスは
内部IPアドレス(家庭や社内ネットワークなど限られた範囲内でのみ有効なIPアドレス)で
こちらも本文が表示されるようになりました。

外部IPアドレス(インターネット越しのIP)やドメイン付きの名前のケースは環境が無い為、確認できませんでした。

[quote="SUPERJET"]Ver.128.10.2が正式リリースされたようですので私の方でも実際にアップデートを行って改善されることを確認しました。[/quote]
UNCパス指定のホスト名部分は「.」を含まない単一名でしょうか？それともIPアドレスやドメイン付きの名前でしょうか？
後者なのに大丈夫な場合、セキュリティ修正が台無しになった可能性があります。

[quote="Cai"][quote="SUPERJET"]リリースノートのトップページにVer128が無い件に関しては変わってませんでした。
https://www.thunderbird.net/en-US/thunderbird/releases/[/quote]
128esr is not showing up on the releases page · Issue #807 · thunderbird/thunderbird-website
https://github.com/thunderbird/thunderbird-website/issues/807
Fixup product_details 128esr not being major by janbrasna · Pull Request #813 · thunderbird/thunderbird-website · GitHub
https://github.com/thunderbird/thunderbird-website/pull/813
では既に修正済みになっていますが、実サーバーにはまだ反映されていないようです。[/quote]
Cai様
情報ありがとうございました。
近いうちにちゃんと見られるようになりそうで安心しました。

[quote="SUPERJET"]リリースノートのトップページにVer128が無い件に関しては変わってませんでした。
https://www.thunderbird.net/en-US/thunderbird/releases/[/quote]
128esr is not showing up on the releases page · Issue #807 · thunderbird/thunderbird-website
https://github.com/thunderbird/thunderbird-website/issues/807
Fixup product_details 128esr not being major by janbrasna · Pull Request #813 · thunderbird/thunderbird-website · GitHub
https://github.com/thunderbird/thunderbird-website/pull/813
では既に修正済みになっていますが、実サーバーにはまだ反映されていないようです。

Ver.128.10.2が正式リリースされたようですので私の方でも実際にアップデートを行って改善されることを確認しました。

リリースノートのトップページにVer128が無い件に関しては変わってませんでした。
https://www.thunderbird.net/en-US/thunderbird/releases/

138.0.2、128.10.2esr ともにリリースされました。
ニュースサイトの方でリリース記事も公開しましたが、リリースノートの翻訳だけでは今回の問題の詳細がよくわからないのでこのトピックへの誘導を付けさせていただきました。

https://mozillazine.jp/?p=9185
[quote]修正 UNC パス上のプロファイルのメッセージを閲覧できない問題を修正 (詳細は MozillaZine.jp フォーラムのトピック を参照されたい)[/quote]

修正版でUNCパスのプロファイル使っている環境でメールを表示できるようになり、Bug 1966256 は再度クローズされて後はリリースを待つのみという状況ですね。
そんなタイミングで、遅ればせながら私も動作テストしてみることにしました。

とりあえず、共有サーバーはWSL2の仮想化環境のUbuntuでsambaを動かしました。
IPアドレスは「172.17.127.158」が割り振られ共有名は「share」にしたので
Windows側のエクスプローラーから「\\172.17.127.158\share」
でアクセスできます。

その中にフォルダーを作ってThunderbirdのプロファイルをコピーし、
-profile "\\172.17.127.158\share\TBProfile\test" のオプション指定で Thunderbird 138.0 を起動すると、想定通り「NS_ERROR_UNEXPECTED」エラーでメール画面は白紙化します。
同じことを Thunderbird 139.0b4 で行うと、エラーは起きずメールは白紙化せずに開かれました。

ここでおやっ？と思いました。たしか、ソースコードのコメントにこんなことが書かれていたはず。
https://searchfox.org/comm-central/source/mailnews/local/src/nsMailboxProtocol.cpp#60[quote]
We want to prevent mailbox URLs using UNC paths to access access arbitrary remote servers. But we don't want to disallow the case where a user's profile is on a shared drive on the LAN.

Note that individual accounts can have their storage pointed to places outside the profile.

UNC names are of the form:
　\\host-name\share-name\object-name
We'll disallow access to any host-name which looks like a FQDN, unless it is listed as an exception in `mail.allowed_unc_hosts`.[/quote]
IPアドレスのホスト名なのにブロックされていない？もちろん「mail.allowed_unc_hosts」は未設定。

次はWindowsの「hosts」ファイルでホスト名をソースコードのコメントにあった「steal-your-stuff.com」に設定、それでプロファイル指定しましたがこれもブロックされない。

ダメ押しで、今度はプロファイルはローカルに置いて、メッセージの保存先の設定を「\\steal-your-stuff.com\share\TBMessage\pop.mail.yahoo.co.jp」としてもブロックされない。

こんなことなら、最初から Bug 1958580 をバックアウトするだけでよかったんじゃ…

以下にVer128.10.2のリリース候補版がアップされていることを確認しましたので適用を行い改善することを確認しました。
https://ftp.mozilla.org/pub/thunderbird/candidates/128.10.2esr-candidates/build1/win64/ja/
https://ftp.mozilla.org/pub/thunderbird/candidates/128.10.2esr-candidates/build1/win32/ja/

[url=https://bugzilla.mozilla.org/show_bug.cgi?id=1967313]バグチケット1967313(1966256の重複)[/url]で担当者の Magnus Melin さんが本日中にリリースするとのコメントを確認しましたので引き続き様子を見ます。

[quote="EarlgreyTea"]SUPERJET さん
ベータRC版のテスト要請来てます。ご対応お願いします。
[quote="Wayne Mery"]Torsten, superjet,

Can you also test the download at https://ftp.mozilla.org/pub/thunderbird/candidates/139.0b4-candidates/build1/win64/en-US/Thunderbird%20Setup%20139.0b4.exe ?

Please post your results.[/quote][/quote]
先程確認作業を行い、Ver139.0b3で現象が発生することを確認し、Ver139.0b4をインストール後現象が改善された旨を返答しました。
その他のバージョンについては引き続きバグチケットをウォッチして状況を見たいと思います。

SUPERJET さん
ベータRC版のテスト要請来てます。ご対応お願いします。
[quote="Wayne Mery"]Torsten, superjet,

Can you also test the download at https://ftp.mozilla.org/pub/thunderbird/candidates/139.0b4-candidates/build1/win64/en-US/Thunderbird%20Setup%20139.0b4.exe ?

Please post your results.[/quote]

[quote="SUPERJET"]バグチケット1966256でウェイン・メリーさんから以下のコメントが本日ありましたので
私の方からも早めに対応を希望する旨とリリースノートの記載(リリースノートにVer128が無い旨の対応を含む)をお願いしておきました。[/quote]
Wayne Mery さんはコミュニティマネージャーをしている人です。
そのため、ユーザーの側に立った発言をしていますが実際に作業をする人ではない点に注意が必要です。
修正に関して要望があった場合は、担当者の Magnus Melin さんを説得する必要があります。

Bug 1966256 を見に行ったらすでに終了していました。
7時間前に修正パッチが更新され、5時間前に nightly ブランチに入り、
2時間前にアップリフト申請が
[list]Approved for beta
Approved for release
Approved for esr128[/list]
となりました。
順次反映が行われてリリース準備に入っていくものと思われます。

それではどういう修正になったのでしょう。
コードの詳細までは見れていないですが、記載されたコメントを信じるとこういう具合です。

[list]
[*]プロファイル外のリモートUNCパスでのメールボックスアクセスをブロックする。
[*]UNCパスがプロファイル内であれば許可する。[list]
[*]ただし、ホスト名がFQDNのように見えるものはアクセスをブロックする。
OK： "\\profileserver\bob\mail\Inbox"
NG： "\\steal-your-stuff.com\bob\mail/Inbox"
[*]mail.allowed_unc_hosts にホスト名がカンマ区切りで設定されていた場合は常に許可される。[/list]
[*]ブロックした場合、エラーコンソールにブロックされたUNCパスと
「To allow, add the hostname to mail.allowed_unc_hosts.」のメッセージを出力する。[/list]

ということなので、ホスト名がIPアドレスの場合は各PCで「hosts」ファイルでホスト名定義してやるか、「mail.allowed_unc_hosts」に設定しておく必要があるようです。

あくまでコメントしか見てませんので、128esr が出る前に Daily か Beta で実際にテストした方がいい気がしますね。