Mozilla Thunderbird

Screenshot: ft

 

 

Alle Versionen von Mozillas Mail-Client Thunderbird bis einschließlich 52.4.0 weisen einige schwerwiegende Sicherheitslücken auf. Davor warnte gestern die Webseite Cert-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das BSI stuft das Risiko durch diese die Lücken als sehr hoch ein. Betroffen sind die Betriebssysteme Linux, BSD, macOS und Windows.

Distributionen hinken hinterher

Mozilla hatte bereits am 23. November ein entsprechendes Security Advisory veröffentlicht und Thunderbird 52.5, das die Lücken schließt, zum Download freigegeben. Das Thema ging in der Presse unter, noch haben auch nicht alle Distributionen die neue Thunderbird-Version an die Anwender ausgeliefert. Zum jetzigen Zeitpunkt fehlen zumindest bei Debian Unstable und bei Arch Linux Pakete der Version 52.5.

Remote-Code-Execution (RCE) möglich

Die beiden Lücken, die als CVE-2017-7826 und CVE-2017-7828 katalogisiert sind, ermöglichen einem nicht authentisierten Angreifer, aus der Ferne die Ausführung beliebigen Programmcodes. Eine weitere Schwachstelle, die als CVE-2017-7830 katalogisiert ist, ermöglicht dem Angreifer das Ausspähen von Informationen. Die Lücken können nicht per E-Mail ausgenutzt werden, da Scripting beim Lesen von E-Mails generell deaktiviert ist. Die fehlerbereinigte Version 52.5 kann von der Mozilla-Webseite heruntergeladen werden.

Beitrag kommentieren