Sicherheitspatch: Mögliches Schlupfloch für Schadcode in Thunderbird geschlossen
Mozilla hat den Mail-Client Thunderbird gegen denkbare Attacken abgesichert.
Wer E-Mails mit Thunderbird abruft, sollte den Client auf den aktuellen Stand bringen. Die Entwickler haben zwei Sicherheitslücken geschlossen.
Setzen Angreifer einer Warnmeldung von Mozilla zufolge an eine Lücke (CVE-2021-38493 "hoch") erfolgreich an, könnte das einen Speicherfehler zur Folge haben. "Mit genügend Aufwand" könnten Angreifer darüber Schadcode ausführen, vermutet Mozilla.
Die zweite Schwachstelle (CVE-2021-38492 "moderat") betrifft ausschließlich Windows. Hier könnten Angreifer über Umwege Websites im Internet Explorer öffnen und Skripte im unprivilegierten Modus ausführen.
Zwei Versionsstränge
In den Versionen Thunderbird 78.14 und 91.1 haben die Entwickler die Lücken eigenen Angaben zufolge geschlossen. Um Verwirrungen vorzubeugen: Derzeit gibt es zwei Release-Versionsstränge des Mailclients, die auf den ESR-Versionen von Firefox 78.x und 91.x basieren. Im vierten Quartal soll dem Firefox Release Calendar zufolge 78.x wegfallen und 91.3 erscheinen.
(des)
