Der E-Mail-Client Thunderbird 78 erschien vor zwei Wochen und brachte Neuerungen bei Verschlüsselung und Erweiterungen. Rund eine Woche später schoben die Entwickler mit 78.0.1 eine Version nach, die 11 kleinere Fehler behob und neue Funktionen in Sachen Schlüssel-Handling einführte.
10 Sicherheitslücken geschlossen
Jetzt erscheint schneller als erwartet Thunderbird 78.1, der zehn Sicherheitslücken schließt, von denen fünf die Sicherheitseinstufung high tragen, wie in Mozillas Security Advisory 2020-33 nachzulesen ist.
Die Lücken betreffen darüber hinaus auch Firefox, Firefox ESR und Tor Browser und sind in Firefox 79 und Firefox ESR 78.1 sowie 68.11 behoben. Tor Browser 9.5.3 behebt die Probleme ebenfalls.
Ausführung von Schadcode möglich
Mehrere der Lücken konnten Angreifern die Ausführung beliebigen Programmcodes mit nicht privilegierten Benutzerrechten ermöglichen. Im Advisory steht dazu: »Im Allgemeinen können diese Fehler im Thunderbird-Produkt nicht über E-Mail ausgenutzt werden, da die Skripterstellung beim Lesen von E-Mails deaktiviert ist, aber sie stellen im Browser oder browserähnlichen Kontext ein potenzielles Risiko dar.«
Am gefährlichsten wurde dabei die Lücke mit der Katalognummer CVE-2020-15659 eingeschätzt, die Speicherfehler auslösen kann. Dies kann zwar durch Adress-Verwürfelung per Address Space Layout Randomization (ASLR) erschwert, aber nicht ganz verhindert werden, da CVE-2020-6514 ASLR aushebeln kann.
Warten auf Thunderbird 78.2
Anwender, die Verschlüsselung in Thunderbird verwenden, sind aber sowieso angehalten, bei Version 68.10.0 zu verharren, bis Thunderbird 78.2 die Integration von Enigmail abschließt. Auch Anwender von Erweiterungen sollten vorher sicherstellen, dass ihre Erweiterungen bereits auf den neuen Standard der WebExtensions umgestellt sind.
Schreibe einen Kommentar