Thunderbird 78.5.0: Diverse Sicherheitslücken im Mail-Client geschlossen

Sven Bauduin
15 Kommentare
Thunderbird 78.5.0: Diverse Sicherheitslücken im Mail-Client geschlossen
Bild: Mozilla

Mit dem Thunderbird 78.5.0 schließt Mozilla respektive dessen noch sehr junges Tochterunternehmen MZLA Technologies Corporation, welches die Entwicklung des „Donnervogels“ mittlerweile verantwortet, diverse Sicherheitslücken in seinem populären Mail-Client, die teils als schwer eingestuft wurden. Auch OpenPGP erhält ein Update.

Thunderbird v78.5.0 schließt diverse Sicherheitslücken

Der Mozilla Thunderbird, der bereits im Januar dieses Jahres in ein Tochterunternehmen der Foundation ausgegliedert wurde, welches seitdem unter dem neuen Firmennamen MZLA Technologies Corporation geführt wird und die Entwicklung des Mail-Clients verantwortet, konnte mit dem nun erfolgten Update auf Version 78.5.0 diverse Sicherheitslücken schließen, die mehr oder weniger kritisch waren.

Die Mozilla Foundation Security Advisory 2020-52 listet folgende Sicherheitslücken als geschlossen auf:

CVE-2020-26951:
  • Parsing mismatches could confuse and bypass security sanitizer for chrome privileged code
CVE-2020-16012:
  • Variable time processing of cross-origin images during drawImage calls
CVE-2020-26953:
  • Fullscreen could be enabled without displaying the security UI
CVE-2020-26956:
  • XSS through paste (manual and clipboard API)
CVE-2020-26958:
  • Requests intercepted through ServiceWorkers lacked MIME type restrictions
CVE-2020-26959:
  • Use-after-free in WebRequestService
CVE-2020-26960:
  • Potential use-after-free in uses of nsTArray
CVE-2020-15999:
  • Heap buffer overflow in freetype
CVE-2020-26961:
  • DoH did not filter IPv4 mapped IP Addresses
CVE-2020-26965:
  • Software keyboards may have remembered typed passwords
CVE-2020-26966:
  • Single-word search queries were also broadcast to local network
CVE-2020-26968:
  • Memory safety bugs fixed in Thunderbird 78.5
Geschlossene Sicherheitslücken in Thunderbird 78.5.0

Neben Verbesserungen bei der Bedienbarkeit des Mail-Clients nennen die offiziellen Release Notes zudem eine Fehlerkorrektur bei der Auswahl des Menüpunkts „Neues Chat-Konto“, der zuvor beim Ausführen unter Umständen zum Absturz von Thunderbird führen konnte.

Im Bezug auf die Verschlüsselung und Signierung per OpenPGP ist es nun möglich, das Anhängen des öffentlichen Schlüssels an eine signierte Nachricht per Option zu deaktivieren.

Update empfohlen

Aufgrund der nun geschlossenen Sicherheitslücken sollten alle Anwender die Thunderbird im Einsatz haben, den Client auf die aktuelle Version 78.5.0 aktualisieren, die wie gewohnt direkt unterhalb dieser Meldung aus dem Download-Archiv von ComputerBase heruntergeladen werden kann.

Downloads

  • Mozilla Thunderbird Download

    4,6 Sterne

    Mozilla Thunderbird ist ein E-Mail- und Newsgroup-Client mit ausgereiftem Spam- und Phishing-Filter.

    • Version 115.18.0esr Deutsch
    • Version 128.5.2esr Deutsch
    • +2 weitere