Login
Newsletter
Werbung

Mo, 13. März 2017, 13:06

Software::Kommunikation

Thunderbird 45.8.0 behebt kritische Sicherheitslücken

Thunderbird 45.8.0 behebt insgesamt neun Sicherheitslücken, von denen fünf als »critical« eingestuft wurden.

Mozilla

Die letzte Woche veröffentlichte Version des E-Mail-Clients Thunderbird 45.8.0 behebt unter anderem einige als »kritisch« eingestufte Sicherheitslücken, wie einem Mozilla Security Advisory zu entnehmen ist. Die Lücke mit der CVE-Nummer 2017-5400 betraf neben Thunderbird auch Firefox in Versionen vor 52.0. Der Fehler befand sich in asm.js, einer Untermenge von JavaScript, die benutzt wird, um Software, die in Sprachen wie C geschrieben wurde, in Webanwendungen mit besserer Geschwindigkeit zu nutzen, als das mit JavaScript möglich wäre. Asm.js ist auch die Grundlage für das von Mozilla, Microsoft, Google und Apple neu entwickelte Binärformat WebAssembly.

Der Fehler ermöglichte die Ausnutzung der JIT-Spray-Technik, die zum Aushebeln von Sicherheitsmechanismen wie Adress Space Layout Randomisation (ASLR) und Data Execution Prevention (DEP) mittels NX-Bit führen kann. Die weiteren als kritisch eingestuften Lücken sind unter CVE-2017-5401, CVE-2017-5401, CVE-2017-5404 und CVE-2017-5398 katalogisiert. Zwei davon betrafen Use-After-Free-Verwundbarkeiten, weitere lösten Speicherzugriffsfehler aus.

Auch wenn über einige dieser Lücken Code eingeschleust werden konnte, weist das Advisory darauf hin, dass die Lücken nicht per E-Mail in Thunderbird ausgenutzt werden konnten, da Scripting dort standardmäßig deaktiviert ist. Die aktuelle Version steht auf der Mozilla Webseite zum Download bereit. Zudem kann die Aktualisierungsfunktion innerhalb des Mail-Clients genutzt werden. Viele Distributionen bieten das Update bereits über die Paketmanager an. Dazu zählt unter anderem auch Debian, das erst seit rund einem Monat wieder ein Paket namens Thunderbird anbietet, nachdem die Software viele Jahre wegen Problemen mit Mozillas Markenrecht unter dem Namen Icedove geführt wurde.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung