Login
Newsletter
Werbung

Di, 14. Januar 2020, 11:17

Software::Büro

Thunderbird 68.4.1 schließt bereits ausgenutzte Sicherheitslücke

Mit Version 68.4.1 des E-Mail-Clients Mozilla Thunderbird werden mehrere Sicherheitslücken geschlossen, von denen eine bereits aktiv ausgenutzt wird.

Mozilla

Das Bundesamt für Sicherheit (BSI) hat einen technischen Sicherheitshinweis veröffentlicht, der auf die Schwachstellen des E-Mail-Clients in den Versionen vor Thunderbird 68.4.1 auf allen Betriebssystemen warnt und bezieht sich damit auf ein Security Advisory von Mozilla vom 10. Januar. Dabei weist Mozilla darauf hin, dass die Lücken generell nicht per E-Mail ausgenutzt werden können, da die Scripting-Funktion während des Lesens von E-Mails ausgeschaltet ist. Potenzielle Gefahr bestehe aber im Zusammenhang mit Browsern, wenn Links zu präparierten Webseiten aus E-Mails heraus geöffnet werden.

Als besonders kritisch ist dabei die Lücke mit der Katalogisierung CVE-2019-17026 zu sehen, die bereits in Firefox 72 und Firefox ESR 68.4 vorhanden war. Wegen der teils gemeinsamen Codebasis von Firefox und Thunderbird treten manche Lücken auch im E-Mail-Client auf. Das Problem bei CVE-2019-17026 befindet sich im IonMonkey JIT Compiler. Wenn ein Angreifer dies ausnutzen kann, führt das zu einer Type Confusion, einem Speicherfehler, der das Einbringen von Schadcode aus der Ferne ermöglicht. Wie genau die derzeitigen Angriffe aussehen wurde bisher nicht bekannt gegeben.

Thunderbird 68.4.1 schließt noch weitere sechs Lücken der Sicherheitseinstufungen high und moderate, bringt aber auch Verbesserungen wie etwa beim Einrichten eines Kontos für einen Microsoft Exchange Server. Zudem werden einige Fehler ausgebügelt. So konnten etwa Anhänge mit Leerzeeichen im Namen unter Umständen nicht geöffnet werden.

Die Aktualisierung auf Thunderbird 68.4.1 ist dringend angeraten, falls dies nicht automatisch geschieht. Die meisten Distributionen bieten das aktuelle Paket bereits an. Wer nach Thunderbird 68.4 sucht, wird enttäuscht, diese Version wurde übersprungen. Auch im Verschlüsselungs-Addon Enigmail 2.1.4 lauert eine Lücke, die mit Enigmail 2.1.5 geschlossen wurde.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung