Die vor ein paar Tagen erschienene Version 68.7.0 von Mozillas E-Mail-Client Thunderbird hat insgesamt fünf Sicherheitslücken geschlossen, von denen zwei als kritisch gelten. Zwei weiteren wurde die Risikoeinstufung "High" und einer die Einstufung "Moderate" zugewiesen.

Im aktuellen Thunderbird Security Advisory merken die Entwickler an, dass der Missbrauch der Lücken im E-Mail-Client im Normalfall nicht möglich sei, da Scripting beim Lesen einer E-Mail defaultmäßig deaktiviert ist. Dennoch könnten sie laut Mozilla "in Browser-ähnlichen Kontexten" eine Gefahr darstellen. Anwender sollten ungeachtet dieser Einschränkungen auf Nummer Sicher gehen und überprüfen, ob Thunderbird auf dem neuesten Stand ist ("Menü --> Hilfe --> Über Thunderbird").

Use After Free und Data Disclosure

Bei den beiden als kritisch eingestuften Lücken CVE-2020-6819 und CVE-2020-6820 handelt es um Use-After-Free-Bugs. Die Informationen im Thunderbird Security Advisory sind eher spärlich; generell können solche Fehler im Code aber etwa zum Auslösen von Programmabstürzen und mitunter auch zur (Remote-)Codeausführung missbraucht werden.

Eine der Lücken mit "High"-Einstufung (CVE-2020-6821) erlaubt unter bestimmten Voraussetzungen den Zugriff auf potenziell vertrauliche Daten. Die zweite (CVE-2020-6825), die mehrere ähnliche Bugs zusammenfasst, lässt sich zur Ausführung beliebigen Codes missbrauchen – allerdings wohl nur mit recht hohem Aufwand ("We presume that with enough effort some of these could have been exploited to run arbitrary code"). Ähnliches gilt für die Medium-Lücke CVE-2020-6822.

CVE-2020-6821, CVE-2020-6822 und CVE-2020-6825 hat Mozilla zuvor auch schon in den aktuellen Firefox-Versionen 75 und Firefox ESR 68.7 beseitigt.

