Alert! Sicherheitslücke in Thunderbird 2.x

Die bereits in Opera, Firefox und Chrome geschlossene Format-String-Schwachstelle aufgrund einer fehlerhaften Implementierung der C-Funktion dtoa zur Umwandlung von Gleitkommazahlen in Zeichenketten (double to ascii) zieht weitere Kreise. Maksymilian Arciemowicz, der Entdecker des Problems, hat nun mehrere Berichte veröffentlicht, wonach auch der Mail-Client Thunderbird 2.x sowie die Kalenderanwendung Sunbird 0.9 und die Browser Flock und Camino verwundbar sind beziehungsweise waren. In den aktuellen Versionen von Flock (2.5.5) und Camino (2.0.1) ist der Fehler nämlich bereits beseitigt

Durch die Schwachstelle kann ein Angreifer durch Angabe bestimmter Formatierungszeichen Arrays überschreiben und so eigenen Code einschleusen und starten. Die Lücke ist allgemein seit Juni dieses Jahres bekannt und wurde zumindest bei den Browsern als extrem kritisch eingestuft.

Der Fehler in Thunderbird soll in der kommenden Version 2.0.0.24 nicht mehr enthalten sein, bislang steht aber nur 2.0.024pre zum Download zur Verfügung. Die letzte Version von Thunderbird 2.x (2.0.0.23) erschien im August dieses Jahres. Warum die Mozilla Foundation so lange mit einer neue Version von Thunderbird 2.x wartet, ist unbekannt. Vermutlich hat die Entwicklung von Thunderbird 3 alle Ressourcen gebunden. In der neuen Version des E-Mail-Clients ist der Fehler nicht zu finden. Anwender sollten nach Möglichkeit auf diese Version wechseln.

Zudem sind laut Arciemowicz mehrere Add-ons für Thunderbird 2.x betroffen, darunter Lightning 0.9 und Thunderbrowse 3.2.6.7.

Siehe dazu auch:

• New Security Notes for: Thunderbird, Camino, Sunbird and Flock, Bericht von Maksymilian Arciemowicz
• Opera 10.10 schließt "extrem" kritische Lücke
• Sicherheits-Update für Google Chrome
• Thunderbird 2.0.0.23 behebt SSL-Schwachstelle

(dab)