Mozilla Foundation
Mit der Veröffentlichung von Thunderbird 52.9 konnten Entwickler eine Reihe kritischer Sicherheitslücken beheben. Daher werden Benutzer aufgefordert, ein Upgrade durchzuführen, um sicherzustellen, dass sie keiner dieser Sicherheitslücken zum Opfer fallen. Da Thunderbird beim Lesen von E-Mails die Skripterstellung deaktiviert, kann es in den meisten Fällen nicht darunter leiden. Es gibt jedoch potenzielle Risiken bei browserähnlichen Steuerelementen, die besorgniserregend genug sind, dass die Organisation viel Zeit darauf verwendet hat, sicherzustellen, dass keines dieser Probleme in freier Wildbahn gefunden werden kann.
Pufferüberläufe sind immer einige der wichtigsten Schwachstellen, und Exploits des Fehlers # CVE-2018-12359 hätten sich auf genau diese Technik verlassen, um die Kontrolle über den E-Mail-Client zu übernehmen. Beim Rendern von Canvas-Modulen können theoretisch Überläufe auftreten, wenn Höhe und Breite eines Canvas-Elements dynamisch verschoben werden.
In diesem Fall könnten Daten außerhalb der normalen Speichergrenzen geschrieben werden und eine beliebige Codeausführung ermöglichen. 12359 wurde in Version 52.9 behoben, was für die meisten Benutzer wahrscheinlich Grund genug ist, ein Upgrade durchzuführen.
Die andere große Sicherheitsanfälligkeit, # CVE-2018-12360, könnte hypothetisch aufgetreten sein, als ein Eingabeelement zu bestimmten Zeiten gelöscht wurde. Dies hätte normalerweise die Methode ausnutzen müssen, die von Mutationsereignishandlern verwendet wird, die ausgelöst werden, wenn ein Element fokussiert ist.
Während es relativ unwahrscheinlich ist, dass 12360 in freier Wildbahn passiert sein könnte, war die Möglichkeit einer willkürlichen Codeausführung hoch genug, dass niemand riskieren wollte, dass etwas passiert. Infolgedessen wurde dieser Fehler zusammen mit einem CSS-Element und einem Klartextleck aus entschlüsselten E-Mails behoben.
Benutzer, die auf die neueste Version aktualisieren und somit diese Bugfixes nutzen möchten, müssen sich keine Gedanken über die Systemanforderungen machen. Die Windows-Version funktioniert mit Installationen, die so alt sind wie Windows XP und Windows Server 2003.
Mac-Benutzer können 52.9 unter OS X Mavericks oder neuer ausführen, und fast jeder, der eine moderne GNU / Linux-Distribution verwendet, sollte in der Lage sein, ein Upgrade durchzuführen, da die einzige bemerkenswerte Abhängigkeit GTK + 3.4 oder höher ist. Diese Benutzer stellen möglicherweise fest, dass sich die neue Version ohnehin früh genug in ihren Repositorys befindet.
Stichworte Web-Sicherheit
