2017
28.11
Thunderbird – Weitere Sicherheitslücken geschlossen

Im E-Mail-Client Thunderbird klaffen drei Sicherheitslücken. Davon gelten zwei als kritisch, warnen die Entwickler. Das Notfallteam des BSI CERT Bund stuft das Risiko insgesamt als „sehr hoch“ ein.

Die Lücken sollen sich in allen Thunderbird-Versionen unter Linux, macOS und Windows finden. Die Ausgabe 52.5 ist abgesichert. Da das Scripting im Mailclient standardmäßig deaktiviert ist, soll sich ein Angriff nicht über Mails einleiten lassen.

Setzen Angreifer an den beiden kritische Lücken an, sollen sie aus der Ferne ohne Authentifizierung Speicherfehler – unter anderem user-after-free – provozieren und so Schadcode ausführen können.

Die dritte Schwachstelle mit dem Bedrohungsgrad „hoch“ könnten Angreifer als Einstiegspunkt zum Abziehen von Informationen ausnutzen.

Ein Update auf die neue Version 52.5 sollte daher so zugügig wie mölich durchgeführt werden.

zurück