Login
Login-Name Passwort


 
Newsletter
Werbung

Thema: Mozilla Thunderbird hat drei kritische Sicherheitslücken

26 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
1
Von Nur ein Leser am Mi, 29. November 2017 um 11:16 #

Die Lücken können nicht per E-Mail ausgenutzt werden
Wie denn dann? Das ist doch für mich als Anwender die entscheidende Information, die fehlt.
(Ja, ich weiß, ich kann mir die CVEs auch selber angucken, aber ein Halbsatz zur Erläuterung wäre im Artikel sehr schön)

Mir würden jetzt spontan mehrere Sachen einfallen, wenn es nicht per Mail ist:
(manipulierte) Anhänge
(manipulierte) Kalendereinladungen
(manipulierte) Kontaktinformationen
(manipulierte) RSS-Feeds oder Chats
Nachgeladene Inhalte in HTML-Mails

  • 1
    Von devil am Mi, 29. November 2017 um 11:37 #

    Mozilla selbst sagt auch nicht allzuviel dazu. 7828 wird als 'use-after-free vulnerability ' beschrieben, 7830 als 'same-origin policy violation'. 7826 wird als 'memory safety bug' beschrieben und betraf auch Firefox und FF ESR

    1
    Von Ethera am Mi, 29. November 2017 um 11:42 #

    Wird das moeglicherweise absichtlich nicht gesagt? Damit ein Angreifer es nicht zu einfach hat den Fehler noch auszunutzen bevor die meisten User das Update haben?

    • 1
      Von asadsfghkjl am Do, 30. November 2017 um 00:24 #

      So ist es.

      Siehe z.B.:
      https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7826

      "Description
      ** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided."

1
Von Anonymous am Mi, 29. November 2017 um 12:51 #

.... schaltet den HTML- und Scripting-Mist in seinem Mailclient ab.

Oder benutzt gleich einen Mailclient, der den Kack erst gar nicht eingebaut hat.

  • 1
    Von Verstand am Fr, 1. Dezember 2017 um 09:07 #

    Auch ein Mailclient der den Kack nicht eingebaut hat, enthält sehr wahrscheinlich Sicherheitslücken z.B. Buffer Overflows, die man ausnützen kann. Hatten wir das nicht schon mal mit mutt?

    Egal, Scripting ist in jedem Fall ein absolutes NoGo. HTML kommt darauf an. In jedem Fall sollte nur eingeschränkt HTML möglich sein. Wobei ich die Variante, wie Thunderbird mit HTML umgeht jetzt nicht sooo schlecht. Kann man aber noch verbessern.

1
Von Arran am Mi, 29. November 2017 um 14:11 #

Was soll das? Wir sind doch mit 57.0 (64-Bit) unterwegs. Könnte die Redaktion bitte mitteilen, ob wir davon auch betroffen sind, inkl. aller Zwischenversionen.

Pro-Linux
Traut euch!
Neue Nachrichten
Werbung