In Thunderbird klaffen mehrere Sicherheitslücken, deren Bedrohungsgrad Mozilla mit "kritisch" und "hoch" einstuft. Eine abgesicherte Version ist verfügbar.
Der E-Mail-Client von Mozilla Thunderbird ist verwundbar. Nutzt ein Angreifer die Lücken aus, kann er im schlimmsten Fall ohne Authentifizierung aus der Ferne Schadcode ausführen. Zudem sind das Ausspähen von Nutzer-Informationen und DoS-Attacken vorstellbar, warnt Mozilla.
Zwei der Lücken gelten als kritisch, sechs Schwachstellen stuft Mozilla mit dem Bedrohungsgrad "hoch" ein. Das Notfallteam des Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt das Risiko als "sehr hoch" ein. Wer den E-Mail-Client nutzt, sollte die abgesicherte Version 45.6 installieren.
Die als kritisch eingestuften Lücken mit den Kennungen CVE-2016-9899 und CVE-2016-9893 klaffen auch in Firefox ESR und dem Tor Browser – sie wurden Ende vergangenen Jahres geschlossen.
E-Mail-Empfang nicht gefährlich
Der alleinige Empfang einer manipulierten E-Mail ist nicht gefährlich, da Scripting beim Lesen von Mails in Thunderbird standardmäßig deaktiviert ist, versichert Mozilla. Bei den betroffenen Webbrowsern soll der Besuch einer mit speziellen Audio-Elementen und DOM Events präparierten Webseite für einen erfolgreichen Übergriff ausreichen. Mozilla erläutert, dass Thunderbird-Nutzer potenziell im Webbrowser-Kontext gefährdet sind – führt diese Aussage aber nicht weiter aus.
(des)