Thunderbird, der E-Mail-Client von Mozilla, ist verwundbar. Im schlimmsten Fall kann ein Angreifer Schadcode ohne Authentifizierung aus der Ferne ausführen. Mozilla warnt zudem davor, das DoS-Attacken und das Ausspähen von Nutzer-Informationen vorstellbar sind.

Als kritisch gelten zwei der Lücken. Mozilla stuft sechs weitere Schwachstellen mit dem Bedrohungsgrad "hoch" ein. Das Risiko wird vom Notfallteam des Bundesamt für Sicherheit in der Informationstechnik (BSI) als "sehr hoch" eingeschätzt. Nutzer von Thunderbird sollten die abgesicherte Version 45.6 installieren.

Die Lücken mit den Kennungen CVE-2016-9899 und CVE-2016-9893, die als kritisch eingestuft wurden, klaffen auch im Tor Browser und in Firefox ESR. Ende des vergangenen Jahres wurden diese geschlossen.

Laut Mozilla ist der alleinige Empfang einer manipulierten E-Mail nicht gefährlich, da Scripting beim Lesen von Mails in Thunderbird standardmäßig deaktiviert ist. Der Besuch einer präparierten Website mit speziellen Audio-Elementen und DOM Events mit den betroffenen Webbrowsern soll für einen erfolgreichen Übergriff ausreichen. Thunderbird Nutzer sind laut Mozilla im Webbrowser-Kontext potenziell gefährdet. Diese Aussage wird allerdings nicht genauer ausgeführt.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE