Security: Thunderbird 45.8 stopft zahlreiche Sicherheitslücken

Die neue Version des E-Mail-Clients Thunderbird von Mozilla behebt etliche, teils schwerwiegende Fehler. Überwiegend sind es Speicherzugriffsfehler.

Artikel veröffentlicht am ,
In der aktuellen Version 45.8 des E-Mail-Clients Thunderbird wurden etliche Fehler behoben.
In der aktuellen Version 45.8 des E-Mail-Clients Thunderbird wurden etliche Fehler behoben. (Bild: Mozilla)

Mit der Veröffentlichung der Version 45.8 von Mozillas E-Mail-Client Thunderbird haben die Entwickler zahlreiche Bugs behoben, die teils als schwerwiegend eingestuft wurden. Bei ihnen handelt es sich um Speicherzugriffsfehler, von denen einige laut dem entsprechenden Security Advisory das Ausführen von Schadsoftware ermöglichen könnten.

Einen Fehler haben die Entwickler beispielsweise in der Javascript-Komponente asm.js entdeckt, über die sich etwa in C geschriebene Programme als Webanwendungen nutzen lassen. Die jetzt geschlossene Lücke in asm.js ermöglichte das sogenannte JIT-Spraying, wobei etwa durch gezielt verwendete XOR-Werte im C-Code sogar die Schutzmechanismen Adress Space Layout Randomisation (ASLR) und Data Execution Prevention (DEP) ausgehebelt werden können, die es unter Windows seit Vista gibt. JIT-Spraying wurde bereits 2010 vom Sicherheitsexperten Dion Blazakis beschrieben.

Dieser und die meisten anderen behobenen Fehler ließen sich aber in Thunderbird nicht durch einfache E-Mails ausnutzen, da Scripting generell deaktiviert ist, schreiben die Entwickler. Sie stellen aber ein Risiko dar, wenn die E-Mail im Browserkontext geöffnet wird.

Die aktuelle Version 45.8 von Thunderbird steht bereits über die offizielle Webseite und als internes Update zum Download bereit. Wer automatische Updates in Thunderbird deaktiviert hat, sollte die Aktualisierung möglichst bald manuell vornehmen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Mozilla
Neue Thunderbird-Version behebt Abstürze unter Windows
artikel-bild
Juli 2018
Chrome bestraft Webseiten ohne HTTPS
artikel-bild
Fluggastdaten
Regierung dementiert Hackerangriff auf deutsches PNR-System
Meistgelesen
artikel-bild
5.000 Fahrzeuge pro Woche
Tesla steigert Giga-Berlin-Produktion und lockt mit Rabatten
artikel-bild
Produktstart
Zweifel bei Apple über die kommende AR/VR-Brille
artikel-bild
Ohne Ultraschall
Tesla führt Einparkhilfe Vision Park Assist mit Kameras ein
Kommentarübersicht
"Sie stellen aber ein Risiko dar, wenn die E-Mail...
Klaus_Bauer 15. Mär 2017

Was hat dies mit Thunderbird bzw. der Schlagzeile "Thunderbird 45.8 stopft zahlreiche...

Re: Also Entwickelt es noch Mozilla
ELKINATOR 13. Mär 2017

Nein, kein von Mozilla bezahlter Entwickler arbeitet an Thunderbird, das betrifft alles...

Re: Mal langsam für einen Outlook-Nutzer 
narea 13. Mär 2017

TB führt _kein_ JS in HTML emails aus. https://superuser.com/a/887497/249686 http://kb...

(Am 7.3. veröffentlicht, wer irgendeine Form von...
derats 13. Mär 2017

kwT

Aktuell auf der Startseite von Golem.de
GPT-4
"Funken von allgemeiner künstlicher Intelligenz"

Microsoft Research enthüllt eine umfangreiche Sammlung von Fallbeispielen, die mit dem ChatGPT-Nachfolger GPT-4 erzeugt wurden. Die Ergebnisse sind beeindruckend.
Eine Analyse von Helmut Linde

GPT-4: Funken von allgemeiner künstlicher Intelligenz
Artikel
  1. Produktstart: Zweifel bei Apple über die kommende AR/VR-Brille
    Produktstart
    Zweifel bei Apple über die kommende AR/VR-Brille

    Apple-Mitarbeiter sollen Bedenken an der geplanten AR/VR-Brille geäußert haben, weil sie den Preis zu hoch und die Nützlichkeit zu gering finden.

  2. Golem Karrierewelt: Kostenloses Live-Webinar zu IT-Security-Zertifizierungen
    Golem Karrierewelt
    Kostenloses Live-Webinar zu IT-Security-Zertifizierungen

    Am Donnerstag, 30. März, ab 16 Uhr auf dem Youtube-Kanal von Golem.de: Der Security-Experte Chris Wojzechowski diskutiert, was von Sicherheitszertifizierungen wie TISP oder CISSP zu halten ist.

  3. Smart-Home-Anwendung: MQTT unter Java nutzen
    Smart-Home-Anwendung
    MQTT unter Java nutzen

    Wer Daten von Sensoren oder ähnlichen Quellen von A nach B senden möchte, kann das Protokoll MQTT verwenden, dank entsprechender Bibliotheken auch einfach unter Java.
    Eine Anleitung von Florian Bottke

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Radeon 7900 XTX 24 GB günstig wie nie • Kingston Fury 16 GB Kit DDR4-3600 43,90€ • MindStar: AMD Ryzen 7 5800X3D 309€ • Nur noch heute: Cyberport Jubiläums-Deals • 3 Spiele kaufen, 2 zahlen • MediaMarkt-Osterangebote • Alternate: Corsair Vengeance 32 GB DDR-6000 116,89€ • MSI Optix 30" 200 Hz 289€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /