Mit der Version 68.5 des Mailclients Thunderbird schließt Hersteller Mozilla sieben Sicherheitslücken in der Anwendung.
Speicherfehler mit Risikostufe „High“
Einer dieser Sicherheitslücken (CVE-2020-6800) birgt laut dem Thunderbird-Team ein hohes Risiko: Angreifer könnten die Schwachstelle unter bestimmten Voraussetzungen zur Ausführung beliebigen Schadcodes ausnutzen, indem sie speziell zu dem Zweck präparierte Emails verschicken. CVE-2020-6800 ist ein Speichersicherheitsfehler, der auch in der aktuellen Version 73 des Mozilla-Browsers Firefox gefixt wurde, und zwar in den Versionen Firefox 72 und Firefox ESR 68.4.
Im Advisory zu Thunderbird 68.5 (Advisory 2020-07) sagen die Entwickler zwar, dass der Missbrauch im Email-Client normalerweise nicht möglich sei, weil das Scripting beim Lesen einer Email standardmäßig deaktiviert ist. Aber trotzdem stelle die Lücke ein potenzielles Sicherheitsrisiko dar.
Lücken mit Risikostufen „Medium“ und „Low“
Während fünf der restlichen Lücken mit „Medium“ eingestuft wurden, ist das Risiko der letzten Schwachstelle nur auf Stufe „Low“. Die Gefahren, die diese Sicherheitslücken mit sich bringen, sind Cross-Site-Scripting, nicht-exploitbare Thunderbird-Abstürze und last not least die Offenlegung sensibler Informationen.
Weitergehende Informationen zur der neuen Version des Eail-Clients finden Sie in den Release-Notes zu Thunderbird 68.5.