Sicherheitsupdate: E-Mail-Client Thunderbird mit Schlupflöchern für Schadcode

Der E-Mail-Client Thunderbird ist verwundbar. In der aktuellen Ausgabe 60.3 haben die Entwickler mehrere Sicherheitslücken geschlossen. In einer Warnung stuft Mozilla die von den Schwachstellen ausgehende Gefahr als „kritisch“ ein.

So sollen entfernte Angreifer Speicherfehler auslösen und im Zuge dessen Schadcode platzieren und ausführen können. Gelingt das, befindet sich ein Computer in der Regel komplett in den Händen von Angreifern.

Das alleinige Lesen von E-Mails soll aber noch keine Attacke einleiten können, da Skripting ab Werk deaktiviert ist, schränkt Mozilla die Gefahr ein. Die Lücken können aber „im Browser oder Browser-ähnlichem Kontext“ gefährlich werden. Weiter führt Mozilla diese Aussage jedoch nicht aus. Auch wie konkrete Angriffsszenarien aussehen können, ist derzeit unklar.

Im Kontext der Lücken schreibt Mozilla von Thunderbird ESR 60.3. ESR steht für „Extended Support Release“. Derartige Ausgaben bekommen von Software-Herstellern eine erweiterte Unterstützung. Beispielsweise Firefox ESR kommt in Organisationen wie Schulen und Unternehmen zum Einsatz. Bei Thunderbird irritiert die ESR-Auszeichnung jedoch, da Mozilla die Mainstream- und ESR-Ausgabe seit Thunderbird 24 im Jahr 2013 zusammengelegt hat.

Wer Thunderbird im Versionsstrang 52.x nutzt, bekommt Updates auf 60.x nicht automatisch, sondern muss Thunderbird 60 manuel installieren.

2018-11-01T19:53:15+00:00