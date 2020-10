Wer E-Mails unter Linux, macOS und Windows mit Thunderbird abholt und liest, sollte die Anwendung aus Sicherheitsgründen auf die aktuelle Ausgabe 78.4 aktualisieren. Darin haben die Entwickler zwei Sicherheitslücken geschlossen. Der von den Lücken ausgehende Bedrohungsgrad ist als "hoch" eingestuft.

Setzen Angreifer einer Warnmeldung von Mozilla zufolge erfolgreich an den Lücken an, könnten sie in beiden Fällen Speicherfehler auslösen. Das führt in einem Fall (use-after-free CVE-202015969) zum Absturz des Clients. Die Schwachstelle hat ein Sicherheitsforscher von Google entdeckt.

In dem anderen Fall (CVE-2020-15683) ist mit etwas Aufwand verbunden die Ausführung von Schadcode vorstellbar. Ein Mozilla-Entwickler und die Community sind auf den Fehler aufmerksam geworden.

Attacken nicht ohne Weiteres möglich

Mozilla erläutert, dass Attacken via Mails generell unwahrscheinlich sind, da Skripting beim Lesen von Mails deaktiviert ist. Vielmehr sind Browser-ähnliche Szenarien gefährlich. Wie das genau gemeint ist, bleibt unklar. Wahrscheinlich geht es dabei um Fälle, in denen Thunderbird Webinhalte darstellt. Dafür hat der E-Mail-Client nämlich Webbrowser-Funktionen eingebaut.

Wer seine Mails von AOL oder Yahoo mit der aktuellen Thunderbird-Version abholen will, muss in den Konto-Einstellungen auf die Authentifizierungsmethode Oauth2 wechseln. Wie das geht, beschreibt ein Support-Beitrag.

(des)