Sicherheitskorrektur für URI-Lücke in neuem Thunderbird

Bei der Freigabe von Version 2.0.0.6 des Webbrowsers Firefox wurde es schon angekündigt, jetzt ist es soweit: Der E-Mail-Client Thunderbird steht ebenfalls in Version 2.0.0.6 zum Download bereit. Er korrigiert die gleichen Sicherheitslücken wie Firefox 2.0.0.6. Vor allem geht es dabei um eine weitere Korrektur für das Problem, das bei der Behandlung spezieller URLs auftritt, die bei installiertem Internet Explorer 7 unter Windows XP dazu führen, dass Angreifer beliebige installierte Programme aufrufen können.

Damit wird auch in Thunderbird eine Sicherheitslücke bei der Verarbeitung von URLs mit eingebetteten Anführungszeichen geschlossen. Der Patch löst auch das Problem bei der Verarbeitung von URLs mit integrierten %00- oder %-Zeichen, durch die installierte Anwendungen aufgerufen werden können. Wie bei Firefox 2.0.0.6 gilt auch bei Thunderbird 2.0.0.6, dass die Lösung noch nicht hundertprozentig sauber ist, aber immerhin alle bisher bekannten Exploits nicht mehr funktionierten. Zudem ist in der neuen Thunderbird-Version ebenfalls der Bug korrigiert, durch den Angreifer die Rechte etwa für JavaScript-Code mit präparierten Webseiten erhöhen konnten.

Die gleichen Sicherheitskorrekturen sollen auch in die neue Version 1.1.4 der Websuite SeaMonkey einfließen. Das externe Projekt, das SeaMonkey als Nachfolger der Mozilla-Websuite pflegt, hat die neue Version derzeit aber noch nicht freigegeben.

Siehe dazu auch:

• Neue Firefox-Version mit Sicherheitskorrektur für URI-Lücke
• Auch Skype von angeblicher "Firefox-Lücke" betroffen, Meldung auf heise Security
• Neue Erkenntnisse zur "Firefox-Lücke", Meldung auf heise Security
• Security Advisories für Thunderbird
• Releasenotes Thunderbird 2.0.0.6
• Download von Thunderbird 2.0.0.6