Der E-Mail-Client von Mozilla, Thunderbird, ist verwundbar. Unter gewissen Voraussetzungen könnten Angreifer die Anwendung attackieren und Schadcode ausführen. In der aktuellen Ausgabe 60.5.1 haben die Entwickler vier Sicherheitslücken geschlossen.

Mozilla stuft in einer Sicherheitswarnung das von den Schwachstellen ausgehende Risiko mit "hoch" ein. Da Skripting standardmäßig deaktiviert ist, sollen E-Mails keine Angriffe einleiten können. Vor möglichen Risiken in Browser-ähnlichen Kontexten spricht Mozilla – führt dies aber nicht weiter aus.

In der Grafik-Bibliothek Skia befinden sich drei der Sicherheitslücken. In diesen kommt es zu Fehlern bei Berechnungen im Zusammenspiel mit konvexen und konkaven Vielecken, was letztlich Speicherfehler (use-after-free, integer overflow) auslöst. An dieser Stelle könnten Angreifer Schadcode auf Systeme schieben und ausführen. In einem Blog-Beitrag führt der Sicherheitsforscher Ivan Fratric von Google Project Zero die Problematik weiter aus.

Betroffen von den Lücken sind auch Firefox, Firefox ESR und Tor Browser. Die Webbrowser haben bereits Sicherheitsupdates erhalten. Skia kommt darüber hinaus unter anderem noch in Chrome und Firefox OS zum Einsatz. Bislang ist noch unklar, ob diese Software auch betroffen ist.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE