Wer unter Thunderbird das Matrix-Chat-Protokoll verwendet, sollten den Mail-Client aus Sicherheitsgründen auf den aktuellen Stand bringen. Andernfalls könnten Angreifer unter anderem Absender fälschen und sich als jemand anderes ausgeben.

Attacken mit verschiedenen Auswirkungen

Wie aus einer Warnmeldung hervorgeht, stuft Mozilla das von den insgesamt vier geschlossenen Lücken als „hoch“ ein. Setzt ein Angreifer erfolgreich an einer Lücke (CVE-2022-39249) an, könnte er eine verschlüsselte Nachricht im Namen anderer verschicken. Das klappt aber nur, wenn ein Angreifer Server-Admin ist.

In dieser Position könnnte er auch die Verifikation von Geräten austricksen (CVE-2022-39250). Außerdem wäre er in der Lage, bereits versendete Nachrichten zu fälschen (CVE-2022-39251) oder Daten zu zerstören (CVE-2022-39236). Dagegen ist Thunderbird in der Version 102.3.1 gerüstet.

Die Lücken im Matrix-Chat-SDK sind den Entwicklern bekannt und sie haben die Schwachstellen mittlerweile geschlossen.

(des)