Mozilla: E-Mail-Client Thunderbird dreifach verwundbar
Mozillas E-Mail-Client Thunderbird hat bis einschließlich Version 52.4 drei kritische Sicherheitslücken. Die Webseite Cert-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) stuft das Risiko der Lücken insgesamt als „sehr hoch“ ein.
Mozilla hatte bereits am 23. November ein Security Advisory herausgegeben und die drei Lücken näher beschrieben. Eine aktualisierte Version 52.5 steht ebenfalls seit diesem Tag bereit. Die Nachricht von diesen schwerwiegenden Lücken ging allerdings in der Presseberichterstattung unter. Jetzt hat das BSI auf der Webseite Cert-Bund eine entsprechende Sicherheitswarnung herausgegeben. Die Lücken betreffen die Betriebssysteme Windows, Linux, BSD und macOS.
Aus der Ferne Code ausführen
Die beiden potentiell gefährlicheren Lücken sind als CVE-2017-7826 und CVE-2017-7828 eingeordnet. Durch sie kann ohne Authentifizierung aus der Ferne beliebiger Code ausgeführt werden, beispielsweise über einen Speicherfehler wie use-after-free. Die dritte Lücke läuft unter der Kennung CVE-2017-7830 und erlaubt das Ausspähen von Informationen.
Zeitnah aktualisieren
Anwender, die keine automatischen Updates erhalten, sollten zeitnah manuell auf Thunderbird 52.5.0 aktualisieren. FreeBSD und NetBSD führen die aktuelle Version ebenso in den Archiven wie die meisten Linux-Distributionen. Lediglich Arch Linux und Debian lassen aktualisierte Pakete bisher vermissen.
Downloads
-
Mozilla Thunderbird Download
4,6 SterneMozilla Thunderbird ist ein E-Mail- und Newsgroup-Client mit ausgereiftem Spam- und Phishing-Filter.
- Version 128.4.3esr Deutsch
- Version 133.0 Beta 4 Deutsch
- +2 weitere