Thunderbird 52.8 schließt Efail-Sicherheitslücken nur teilweise

Benutzer sollte das Update des E-Mail-Programms umgehend installieren, denn es schließt mehrere, teils kritische Lücken. Die Efail-Schwachstellen sind jedoch nicht vollständig behoben.

In Pocket speichern vorlesen Druckansicht 69 Kommentare lesen
Efail: Thunderbird-Update 52.8 schließt Sicherheitslücke nur teilweise
Lesezeit: 2 Min.

Die Thunderbird-Entwickler haben Version 52.8.0 des E-Mail-Clients für Windows, Linux und Mac veröffentlicht und die Veränderungen in den Release Notes erläutert. Die vor kurzem bekannt gewordene Sicherheitslücke 'Efail', die die Verschlüsselung von Nachrichten per PGP und S/MIME (bei Thunderbird mit dem Addon Enigmail) unterminiert, ist mit dieser Version jedoch nur teilweise geschlossen worden. Erste Enigmail-Workarounds hatten sich zudem als unwirksam erwiesen. Benutzer sollten das Thunderbird-Update dennoch umgehend installieren, da auch andere, teils kritische Lücken behoben sind.

Im zugehörigen Security Advisory 2018-13 finden sich unter den geschlossenen Schwachstellen ein kritisches Speicherleck in der Skia-Bibliothek sowie mehrere Lücken mit den CVE-Einstufungen "hoch" und "mittel". Eine Lücke fürs Auslesen verschlüsselter Nachrichten im Kontext von S/MIME (CVE-2018-5184, das Einschleusen von Exfiltration Gadgets in den Ciphertext durch Manipulieren der Blockchiffre) mit der Einstufung "hoch" ist ebenfalls geschlossen.

Allerdings bleibt das von 'Efail' bekannte Problem der Exfiltration verschlüsselter Nachrichten in einem HTML-Kontext offenbar bestehen: Dabei kann ein Angreifer mit der Fähigkeit zur Manipulation verschlüsselter Mails der Nachricht Elemente hinzufügen. Über diese lässt sich der vom E-Mail-Programm des Empfängers entschlüsselte, eigentlich geheime Teil der Nachricht an den Angreifer übermitteln. Das ist innerhalb der komplizierten Efail-Materie jedoch nur eines von mehreren denkbaren Angriffsszenarien.

Daher bleibt vorerst – voraussichtlich bis zum Erscheinen von Version 52.8.1 des E-Mail-Programms – die Warnung von Mozilla.org in Kraft, das Nachladen externer Inhalte deaktiviert zu lassen (dies ist in Thunderbird die Standardeinstellung). Wann diese Version erscheinen wird, gab Mozilla nicht bekannt. (tiw)