Sicherheitsupdate schließt Angriffspunkte in Thunderbird
Schwachstellen in der Grafik-Bibliothek Skia gefährden Thunderbird. Die aktuelle Version ist abgesichert.
Mozillas E-Mail-Client Thunderbird ist verwundbar. Angreifer könnten die Anwendung attackieren und unter gewissen Voraussetzungen Schadcode ausführen. Die Entwickler haben in der aktuellen Ausgabe 60.5.1 vier Sicherheitslücken geschlossen. Es ist davon auszugehen, dass davon die Versionen für alle Betriebssysteme betroffen sind.
In einer Sicherheitswarnung stuft Mozilla das von den Schwachstellen ausgehende Risiko mit "hoch" ein. Da Skripting standardmäßig deaktiviert ist, sollen Mails keine Angriffe einleiten können. Mozilla spricht vor möglichen Risiken in Browser-ähnlichen Kontexten – führt dies aber nicht weiter aus.
Gefährliche Vielecke
Drei der Sicherheitslücken finden sich in der Grafik-Bibliothek Skia. Dabei kommt es zu Fehlern bei Berechnungen im Zusammenspiel mit konvexen und konkaven Vielecken, was letztlich Speicherfehler (use-after-free, integer overflow) auslöst. An dieser Stelle könnten Angreifer Schadcode auf Systeme schieben und ausführen. Der Sicherheitsforscher Ivan Fratric von Google Project Zero führt die Problematik in einem Blog-Beitrag weiter aus.
Von den Lücken sind auch Firefox, Firefox ESR und Tor Browser betroffen. Die Webbrowser haben bereits Sicherheitsupdates erhalten. Skia kommt darüber hinaus unter anderem noch in Chrome und Firefox OS zum Einsatz. Ob diese Software auch betroffen ist, ist bislang unklar. (des)
