5 SicherheitslĂĽcken in Thunderbird gefixt
Die Version 2.0.0.12 des E-Mail-Programms Thunderbird dichtet fĂĽnf SicherheitslĂĽcken ab. Eine davon stufen die Mozilla-Entwickler als kritisch ein, da schon das Ansehen einer E-Mail genĂĽgt, um Schadcode einzuschleusen und auszufĂĽhren.
Thunderbird-Nutzer bekommen ab sofort eine Aktualisierung auf Version 2.0.0.12 angeboten, wenn sie das Programm neu starten oder nach Updates suchen lassen. In der neuen Version beheben die Mozilla-Entwickler fünf Schwachstellen, von denen sie eine als kritisch einstufen, da Angreifer dadurch mit präparierten E-Mails Schadcode einschleusen könnten, der schon durch das Ansehen der E-Mail ausgeführt wird.
Die kritische Lücke kann sich beim Verarbeiten von E-Mails mit präparierten Anhängen bemerkbar machen. Ist der Anhang mit den Multipurpose Internet Message Extensions (MIME) kodiert, reserviert Thunderbird dabei möglicherweise einen um drei Bytes zu kleinen Speicherbereich, was zu einem Pufferüberlauf auf dem Heap und zur Ausführung von eingeschleusten Code führen kann. Der Fehler betrifft auch die SeaMonkey-Suite.
Die anderen Fehler betreffen auch Firefox und SeaMonkey und wurden von den Entwicklern in der Firefox-Version 2.0.0.12 und in der SeaMonkey 1.1.8 behoben. Dazu gehört eine Lücke, durch die Inhalte von Speicherbereichen auslesbar waren, wenn die Mail manipulierte BMP-Bilder enthielt. Auch die Directory-Traversal-Schwachstelle, die durch Add-ons aufgerissen wurde, die nicht als .jar-Archiv verpackt waren, haben die Entwickler in Thunderbird 2.0.0.12 behoben.
Thunderbird-Nutzer sollten das Update so schnell wie möglich einspielen.
Siehe dazu auch:
- Fixed in Thunderbird 2.0.0.12, Ăśbersicht der abgedichteten LĂĽcken in Thunderbird 2.0.0.12
- Mozilla Thunderbird MIME External-Body Heap Overflow Vulnerability, Fehlermeldung von iDefense
(dmk)
