zurück zum Artikel

Thunderbird 60.7.2: Mozilla fixt potenziell gefährliche Lückenkombination

Olivia von Westernhagen
Thunderbird 60.7.2: Mozilla fixt gefährliche Lückenkombination

Das Mozilla Entwickler-Team hat vergangene Woche zwei Sicherheitslücken in Thunderbird behoben, die zuvor in Firefox aktiv ausgenutzt worden waren.

In der vergangenen Woche hat Mozilla gleich zweimal zugunsten der Sicherheit an seinem Webbrowser Firefox nachgebessert: Aus zwei Sicherheitslücken ergab sich, wenn Angreifer sie miteinander kombiniert hätten, ein Vielfaches ihres ursprünglichen Gefahrenpotenzials. Auch der E-Mail-Client Thunderbird war von den Lücken betroffen – und auch er erhielt nun ein wichtiges Sicherheitsupdate.

Das Update, das die E-Mail-Client-Version auf 60.7.2 anhebt, beseitigt einerseits die kritische Sicherheitslücke CVE-2019-11707, durch die Angreifer mittels JavaScript-Code einen Speicherfehler provozieren und schlimmstenfalls einen Systemabsturz herbeiführen könnten. Andererseits fixt es auch CVE-2019-11708 (Risikoeinstufung "hoch"). Diese zweite Lücke könnte Angreifern den Ausbruch aus Sandboxumgebungen und in Kombination mit CVE-2019-11707 die anschließende Ausführung beliebigen Programmcodes auf dem System ermöglichen.

Version 60.7.2 ist abgesichert

Im Falle des Firefox-Browsers beobachtete das Mozilla-Team aktive Angriffe über die beschriebene Lückenkombination [1]. Das Security Advisory zur aktuellen Thunderbird-Version 60.7.2 [2] legt nahe, dass die Angriffsmöglichkeiten auf den E-Mail-Client deutlich eingeschränkter sind: Grundsätzlich könnten die Lücken nicht via E-Mail ausgenutzt werden, da Scripting beim Lesen derselben deaktiviert sei, heißt es dort. Dennoch würden sie "in Browsern oder Browser-ähnlichen Kontexten" ein "potenzielles Risiko" darstellen.

Thunderbird 60.7.2: Mozilla fixt gefährliche Lückenkombination

Thunderbird-Nutzer sollten also in jedem Fall die von ihnen genutzte Version auf 60.7.2 (unter Einstellungen --> Hilfe --> Über Mozilla Thunderbird) aktualisieren, sofern dies nicht schon via automatischem Update geschehen ist.

Lesen Sie dazu auch:

(ovw [4])

URL dieses Artikels:
https://www.heise.de/-4454671

Links in diesem Artikel:
[1] https://www.heise.de/security/meldung/Sicherheitsupdate-Firefox-erneut-im-Visier-von-Angreifern-4452757.html
[2] https://www.mozilla.org/en-US/security/advisories/mfsa2019-20/
[3] https://www.heise.de/tipps-tricks/Thunderbird-updaten-so-geht-s-4357910.html
[4] mailto:olivia.von.westernhagen@gmail.com

Copyright © 2019 Heise Medien