In der vergangenen Woche hat Mozilla gleich zweimal zugunsten der Sicherheit an seinem Webbrowser Firefox nachgebessert: Aus zwei Sicherheitslücken ergab sich, wenn Angreifer sie miteinander kombiniert hätten, ein Vielfaches ihres ursprünglichen Gefahrenpotenzials. Auch der E-Mail-Client Thunderbird war von den Lücken betroffen – und auch er erhielt nun ein wichtiges Sicherheitsupdate.

Das Update, das die E-Mail-Client-Version auf 60.7.2 anhebt, beseitigt einerseits die kritische Sicherheitslücke CVE-2019-11707, durch die Angreifer mittels JavaScript-Code einen Speicherfehler provozieren und schlimmstenfalls einen Systemabsturz herbeiführen könnten. Andererseits fixt es auch CVE-2019-11708 (Risikoeinstufung "hoch"). Diese zweite Lücke könnte Angreifern den Ausbruch aus Sandboxumgebungen und in Kombination mit CVE-2019-11707 die anschließende Ausführung beliebigen Programmcodes auf dem System ermöglichen.

Version 60.7.2 ist abgesichert

Im Falle des Firefox-Browsers beobachtete das Mozilla-Team aktive Angriffe über die beschriebene Lückenkombination. Das Security Advisory zur aktuellen Thunderbird-Version 60.7.2 legt nahe, dass die Angriffsmöglichkeiten auf den E-Mail-Client deutlich eingeschränkter sind: Grundsätzlich könnten die Lücken nicht via E-Mail ausgenutzt werden, da Scripting beim Lesen derselben deaktiviert sei, heißt es dort. Dennoch würden sie "in Browsern oder Browser-ähnlichen Kontexten" ein "potenzielles Risiko" darstellen.

Thunderbird-Nutzer sollten also in jedem Fall die von ihnen genutzte Version auf 60.7.2 (unter Einstellungen --> Hilfe --> Über Mozilla Thunderbird) aktualisieren, sofern dies nicht schon via automatischem Update geschehen ist.

Lesen Sie dazu auch:

(ovw)