Thunderbird 52.8 schließt Efail-Sicherheitslücken nur teilweise

Die Thunderbird-Entwickler haben Version 52.8.0 des E-Mail-Clients für Windows, Linux und Mac veröffentlicht und die Veränderungen in den Release Notes erläutert. Die vor kurzem bekannt gewordene Sicherheitslücke 'Efail', die die Verschlüsselung von Nachrichten per PGP und S/MIME (bei Thunderbird mit dem Addon Enigmail) unterminiert, ist mit dieser Version jedoch nur teilweise geschlossen worden. Erste Enigmail-Workarounds hatten sich zudem als unwirksam erwiesen. Benutzer sollten das Thunderbird-Update dennoch umgehend installieren, da auch andere, teils kritische Lücken behoben sind.

Mehrere kritische Lücken geschlossen

Im zugehörigen Security Advisory 2018-13 finden sich unter den geschlossenen Schwachstellen ein kritisches Speicherleck in der Skia-Bibliothek sowie mehrere Lücken mit den CVE-Einstufungen "hoch" und "mittel". Eine Lücke fürs Auslesen verschlüsselter Nachrichten im Kontext von S/MIME (CVE-2018-5184, das Einschleusen von Exfiltration Gadgets in den Ciphertext durch Manipulieren der Blockchiffre) mit der Einstufung "hoch" ist ebenfalls geschlossen.

Allerdings bleibt das von 'Efail' bekannte Problem der Exfiltration verschlüsselter Nachrichten in einem HTML-Kontext offenbar bestehen: Dabei kann ein Angreifer mit der Fähigkeit zur Manipulation verschlüsselter Mails der Nachricht Elemente hinzufügen. Über diese lässt sich der vom E-Mail-Programm des Empfängers entschlüsselte, eigentlich geheime Teil der Nachricht an den Angreifer übermitteln. Das ist innerhalb der komplizierten Efail-Materie jedoch nur eines von mehreren denkbaren Angriffsszenarien.

Warten auf Version 52.8.1

Daher bleibt vorerst – voraussichtlich bis zum Erscheinen von Version 52.8.1 des E-Mail-Programms – die Warnung von Mozilla.org in Kraft, das Nachladen externer Inhalte deaktiviert zu lassen (dies ist in Thunderbird die Standardeinstellung). Wann diese Version erscheinen wird, gab Mozilla nicht bekannt. (tiw)