Der E-Mail-Client Thunderbird 78 erschien vor zwei Wochen und brachte Neuerungen bei Verschlüsselung und Erweiterungen. Rund eine Woche später schoben die Entwickler mit 78.0.1 eine Version nach, die 11 kleinere Fehler behob und neue Funktionen in Sachen Schlüssel-Handling einführte.
10 Sicherheitslücken geschlossen
Jetzt erscheint schneller als erwartet Thunderbird 78.1, der zehn Sicherheitslücken schließt, von denen fünf die Sicherheitseinstufung high tragen, wie in Mozillas Security Advisory 2020-33 nachzulesen ist.
Die Lücken betreffen darüber hinaus auch Firefox, Firefox ESR und Tor Browser und sind in Firefox 79 und Firefox ESR 78.1 sowie 68.11 behoben. Tor Browser 9.5.3 behebt die Probleme ebenfalls.
Ausführung von Schadcode möglich
Mehrere der Lücken konnten Angreifern die Ausführung beliebigen Programmcodes mit nicht privilegierten Benutzerrechten ermöglichen. Im Advisory steht dazu: »Im Allgemeinen können diese Fehler im Thunderbird-Produkt nicht über E-Mail ausgenutzt werden, da die Skripterstellung beim Lesen von E-Mails deaktiviert ist, aber sie stellen im Browser oder browserähnlichen Kontext ein potenzielles Risiko dar.«
Am gefährlichsten wurde dabei die Lücke mit der Katalognummer CVE-2020-15659 eingeschätzt, die Speicherfehler auslösen kann. Dies kann zwar durch Adress-Verwürfelung per [wiki title=”Address_Space_Layout_Randomization”]Address Space Layout Randomization[/wiki] (ASLR) erschwert, aber nicht ganz verhindert werden, da CVE-2020-6514 ASLR aushebeln kann.
Warten auf Thunderbird 78.2
Anwender, die Verschlüsselung in Thunderbird verwenden, sind aber sowieso angehalten, bei Version 68.10.0 zu verharren, bis Thunderbird 78.2 die Integration von Enigmail abschließt. Auch Anwender von Erweiterungen sollten vorher sicherstellen, dass ihre Erweiterungen bereits auf den neuen Standard der WebExtensions umgestellt sind.
Thunderbird 78.x ist bestimmt toll, jedoch ist die Umstellung auf ein ganz anderes Add-on System ein wirkliches Problem. Die allermeisten Add-ons wurden noch nicht auf 78+ portiert, was wohl auch massive Arbeit benötigen wird. Einige Add-ons werden wohl nie portiert werden.
Ich hänge beispielsweise vom exzellenten XNote++ Add-on ab, welches persistente Notizen (gelbe Klebezettel) an einzelnen Emails ermöglicht. Der Entwickler hat nicht die Zeit die Portierung zu übernehmen und hat nun einen Eintrag auf Bountysource erstellt um jemanden zu ermutigen die Portierung zu übernehmen:
https://www.bountysource.com/issues/92160540-add-support-for-thunderbird-78
Das wird dauern. Und einige werden es nicht schaffen, da die Funktionalität in den WebExtensions (meist aus Sicherheitsgründen) nicht unterstützt wird. Bei Firefox fehlen auch heute noch Add-ons wie etwa Tab Mix Plus
Moin,
ich bin verwirrt. Meinst du 78.0.1 oder 78.1
Es gibt noch kein 78.1?
https://www.thunderbird.net/de/thunderbird/releases/
Gruß
Christian
Nein, zu 78.0.1 kam schon eine Meldung. 78.1.0 ist schon richtig.
https://www.thunderbird.net/en-US/thunderbird/78.1.0/releasenotes/
Der wurde aber anscheinend bis jetzt noch nicht offiziell veröffentlicht.
Und OpenPGP hat jetzt anscheinend schon den vollen Funktionsumfang, obwohl es immer noch deaktiviert ist.