Alert!

Thunderbird: Angreifer könnten Absender verschlüsselter Nachrichten fälschen

Sicherheitslücken im Matrix-Chat-SDK machen den Mail-Client Thunderbird verwundbar. Eine aktualisierte Version schafft Abhilfe.

In Pocket speichern vorlesen Druckansicht 80 Kommentare lesen
Lesezeit: 1 Min.

Wer unter Thunderbird das Matrix-Chat-Protokoll verwendet, sollten den Mail-Client aus Sicherheitsgründen auf den aktuellen Stand bringen. Andernfalls könnten Angreifer unter anderem Absender fälschen und sich als jemand anderes ausgeben.

Wie aus einer Warnmeldung hervorgeht, stuft Mozilla das von den insgesamt vier geschlossenen Lücken als „hoch“ ein. Setzt ein Angreifer erfolgreich an einer Lücke (CVE-2022-39249) an, könnte er eine verschlüsselte Nachricht im Namen anderer verschicken. Das klappt aber nur, wenn ein Angreifer Server-Admin ist.

In dieser Position könnnte er auch die Verifikation von Geräten austricksen (CVE-2022-39250). Außerdem wäre er in der Lage, bereits versendete Nachrichten zu fälschen (CVE-2022-39251) oder Daten zu zerstören (CVE-2022-39236). Dagegen ist Thunderbird in der Version 102.3.1 gerüstet.

Die Lücken im Matrix-Chat-SDK sind den Entwicklern bekannt und sie haben die Schwachstellen mittlerweile geschlossen.

(des)