Thunderbird 78.5.0: Diverse Sicherheitslücken im Mail-Client geschlossen

Mit dem Thunderbird 78.5.0 schließt Mozilla respektive dessen noch sehr junges Tochterunternehmen MZLA Technologies Corporation, welches die Entwicklung des „Donnervogels“ mittlerweile verantwortet, diverse Sicherheitslücken in seinem populären Mail-Client, die teils als schwer eingestuft wurden. Auch OpenPGP erhält ein Update.

Thunderbird v78.5.0 schließt diverse Sicherheitslücken

Der Mozilla Thunderbird, der bereits im Januar dieses Jahres in ein Tochterunternehmen der Foundation ausgegliedert wurde, welches seitdem unter dem neuen Firmennamen MZLA Technologies Corporation geführt wird und die Entwicklung des Mail-Clients verantwortet, konnte mit dem nun erfolgten Update auf Version 78.5.0 diverse Sicherheitslücken schließen, die mehr oder weniger kritisch waren.

Die Mozilla Foundation Security Advisory 2020-52 listet folgende Sicherheitslücken als geschlossen auf:

• Parsing mismatches could confuse and bypass security sanitizer for chrome privileged code

• Variable time processing of cross-origin images during drawImage calls

• Fullscreen could be enabled without displaying the security UI

• XSS through paste (manual and clipboard API)

• Requests intercepted through ServiceWorkers lacked MIME type restrictions

• Use-after-free in WebRequestService

• Potential use-after-free in uses of nsTArray

• Heap buffer overflow in freetype

• DoH did not filter IPv4 mapped IP Addresses

• Software keyboards may have remembered typed passwords

• Single-word search queries were also broadcast to local network

• Memory safety bugs fixed in Thunderbird 78.5

Geschlossene Sicherheitslücken in Thunderbird 78.5.0

Neben Verbesserungen bei der Bedienbarkeit des Mail-Clients nennen die offiziellen Release Notes zudem eine Fehlerkorrektur bei der Auswahl des Menüpunkts „Neues Chat-Konto“, der zuvor beim Ausführen unter Umständen zum Absturz von Thunderbird führen konnte.

Im Bezug auf die Verschlüsselung und Signierung per OpenPGP ist es nun möglich, das Anhängen des öffentlichen Schlüssels an eine signierte Nachricht per Option zu deaktivieren.

Update empfohlen

Aufgrund der nun geschlossenen Sicherheitslücken sollten alle Anwender die Thunderbird im Einsatz haben, den Client auf die aktuelle Version 78.5.0 aktualisieren, die wie gewohnt direkt unterhalb dieser Meldung aus dem Download-Archiv von ComputerBase heruntergeladen werden kann.