zurück zum Artikel

Angreifer könnten Thunderbird Schadcode unterschieben. Die aktuelle Version ist abgesichert.

Die Entwickler von Mozillas Mail-Client Thunderbird haben in der Ausgabe 78.1 zehn Sicherheitslücken geschlossen. Im schlimmsten Fall könnte Schadcode auf Computer gelangen.

Aus einer Warnmeldung geht hervor [1], dass vier Lücken mit dem Bedrohungsgrad "hoch" versehen sind. Am gefährlichsten gilt eine Schwachstelle (CVE-2020-15659) durch deren erfolgreiches Ausnutzen Angreifer Speicherfehler auslösen könnten. Klappt das, stürzt eine Anwendung ab (DoS) oder es gelangt Schadcode auf Systeme.

Schadcode-Attacke voraus

Durch eine zufällige Zuordnung von Speicherbereichen durch den Schutzmechanismus Address Space Layout Randomization (ASLR) sollen solche Attacken scheitern. Ungünstigerweise könnten Angreifer den Ansatz über eine weitere Lücke (CVE-6514) umgehen.

Die abgesicherte Thunderbird-Version 78.1 steht für alle Betriebssysteme zum Download bereit. Ob alle Systeme von den Lücken betroffen sind, ist derzeit nicht bekannt.

Noch kein PGP

Mit der Version 78 hat Thunderbird eine größere Überarbeitung erfahren [2]. So kam beispielsweise eine Aufgabenverwaltung und ein Dark Mode hinzu. Wer Mails verschlüsselt via PGP versendet, sollte aber noch auf die Version 78.2 warten. Erst ab dieser Version hat der Mail-Client das Enigmail-Addon fest implementiert. In der aktuellen Version ist die Verschlüsselung noch nicht fertig integriert.

(des [3])

URL dieses Artikels:
https://www.heise.de/-4857489

Links in diesem Artikel:
[1] https://www.mozilla.org/en-US/security/advisories/mfsa2020-33/
[2] https://www.heise.de/news/E-Mail-Client-Thunderbird-78-ist-startklar-Enigmail-Ausnahme-bleibt-4846751.html
[3] mailto:des@heise.de

Copyright © 2020 Heise Medien