Sicherheitsupdate: Thunderbird könnte verschlüsselte Verbindungen ignorieren
In der aktuellen Version Thunderbird 68.9.0 haben die Entwickler mehrere Sicherheitslücken geschlossen.
Attackieren Angreifer Thunderbird erfolgreich, könnte der Mailclient abstürzen, private Schlüssel leaken, Schadcode auf Computer lassen oder Mails der Konfiguration zum Trotz über eine unverschlüsselte Verbindung verschicken. Eine abgesicherte Version schafft Abhilfe.
Insgesamt haben die Entwickler in Thunderbird 68.9.0 fünf Sicherheitslücken geschlossen. Das Angriffsrisiko gilt als "hoch". Welche Betriebssysteme konkret sind, führt Mozilla nicht aus.
Auswirkungen von Attacken
Wie aus einer Warnmeldung vom Mozilla hervorgeht, könnten aufgrund eines Fehlers in der Krypto-Bibliothek Network Security Service (NSS) bei der Erzeugung von DSA-Signaturen private Schlüssel leaken. Damit kämpfen auch Firefox und Firefox ESR aus gleichem Haus.
Beim Browsen einer präparierten Website könnte Thunderbird abstürzen. Angreifer könnten auf nicht näher beschriebenem Weg Speicherfehler als Schlupfloch für Schadcode auslösen.
Ist ein E-Mail-Konto für den das verschlüsselte Senden und Abholen von Mails (STARTTLS) eingerichtet, kann es zu einem Fehler kommen, aus dem eine unverschlüsselte Verbindung resultiert. Das kann passieren, wenn der IMAP-Server eine PREAUTH-Antwort sendet. (des)