Alert!

Sicherheitsupdate: Thunderbird 78.4 gegen Abstürze und Schadcode gerüstet

Der E-Mail-Client Thunderbird ist in einer abgesicherten Version erschienen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 48 Beiträge
Von
  • Dennis Schirrmacher

Wer E-Mails unter Linux, macOS und Windows mit Thunderbird abholt und liest, sollte die Anwendung aus Sicherheitsgründen auf die aktuelle Ausgabe 78.4 aktualisieren. Darin haben die Entwickler zwei Sicherheitslücken geschlossen. Der von den Lücken ausgehende Bedrohungsgrad ist als "hoch" eingestuft.

Setzen Angreifer einer Warnmeldung von Mozilla zufolge erfolgreich an den Lücken an, könnten sie in beiden Fällen Speicherfehler auslösen. Das führt in einem Fall (use-after-free CVE-202015969) zum Absturz des Clients. Die Schwachstelle hat ein Sicherheitsforscher von Google entdeckt.

In dem anderen Fall (CVE-2020-15683) ist mit etwas Aufwand verbunden die Ausführung von Schadcode vorstellbar. Ein Mozilla-Entwickler und die Community sind auf den Fehler aufmerksam geworden.

Mozilla erläutert, dass Attacken via Mails generell unwahrscheinlich sind, da Skripting beim Lesen von Mails deaktiviert ist. Vielmehr sind Browser-ähnliche Szenarien gefährlich. Wie das genau gemeint ist, bleibt unklar. Wahrscheinlich geht es dabei um Fälle, in denen Thunderbird Webinhalte darstellt. Dafür hat der E-Mail-Client nämlich Webbrowser-Funktionen eingebaut.

Wer seine Mails von AOL oder Yahoo mit der aktuellen Thunderbird-Version abholen will, muss in den Konto-Einstellungen auf die Authentifizierungsmethode Oauth2 wechseln. Wie das geht, beschreibt ein Support-Beitrag.

(des)