Update für Thunderbird – Mozilla behebt kritische Schwachstellen
Im Mail-Client Thunderbird konnten Angreifer Programmabstürze via Scripting als Einfallstore missbrauchen. Ein Update wirkt solchen Szenarien entgegen.
(Bild: Free-Photos)
Insgesamt 13 Sicherheitslücken stecken in Mozillas E-Mail-Client Thunderbird bis einschließlich Version 52.8. Laut aktuellem Security Advisory gelten vier von ihnen als kritisch: Unter anderem kann eine von ihnen "mit genügend Aufwand" missbraucht werden, um beliebigen Code auf dem verwundbaren Client auszuführen. Andere ermöglichen das Herbeiführen eines Programmabsturzes, der Angreifern diverse Exploit-Möglichkeiten bietet. Zu den aufgeführten (und nun gefixten) Lücken zählt auch Efail (siehe Release Notes).
Mozilla weist darauf hin, dass die meisten der im Advisory aufgeführten Lücken unter normalen Umständen nicht ausgenutzt werden können, da dies (beim Lesen von Mails deaktiviertes) Scripting erfordert würde. Dennoch bestünden Risiken im Browser und "browser-ähnlichen Kontexten". Das US-CERT rät in einem eigenen Sicherheitshinweis zum umgehenden Update.
Die aktuelle Thunderbird-Version 52.9 fixt die Lücken. Nutzer können sie wahlweise manuell herunterladen oder über ein Update aus der aktuell installierten Version heraus beziehen. (ovw)
