Original-URL des Artikels: https://www.golem.de/news/security-thunderbird-45-8-stopft-zahlreiche-sicherheitsluecken-1703-126678.html    Veröffentlicht: 13.03.2017 09:20    Kurz-URL: https://glm.io/126678

Security

Thunderbird 45.8 stopft zahlreiche Sicherheitslücken

Die neue Version des E-Mail-Clients Thunderbird von Mozilla behebt etliche, teils schwerwiegende Fehler. Überwiegend sind es Speicherzugriffsfehler.

Mit der Veröffentlichung der Version 45.8 von Mozillas E-Mail-Client Thunderbird haben die Entwickler zahlreiche Bugs behoben, die teils als schwerwiegend eingestuft wurden. Bei ihnen handelt es sich um Speicherzugriffsfehler, von denen einige laut dem entsprechenden Security Advisory das Ausführen von Schadsoftware ermöglichen könnten.

Einen Fehler haben die Entwickler beispielsweise in der Javascript-Komponente asm.js entdeckt, über die sich etwa in C geschriebene Programme als Webanwendungen nutzen lassen. Die jetzt geschlossene Lücke in asm.js ermöglichte das sogenannte JIT-Spraying, wobei etwa durch gezielt verwendete XOR-Werte im C-Code sogar die Schutzmechanismen Adress Space Layout Randomisation (ASLR) und Data Execution Prevention (DEP) ausgehebelt werden können, die es unter Windows seit Vista gibt. JIT-Spraying wurde bereits 2010 vom Sicherheitsexperten Dion Blazakis beschrieben.

Dieser und die meisten anderen behobenen Fehler ließen sich aber in Thunderbird nicht durch einfache E-Mails ausnutzen, da Scripting generell deaktiviert ist, schreiben die Entwickler. Sie stellen aber ein Risiko dar, wenn die E-Mail im Browserkontext geöffnet wird.

Die aktuelle Version 45.8 von Thunderbird steht bereits über die offizielle Webseite und als internes Update zum Download bereit. Wer automatische Updates in Thunderbird deaktiviert hat, sollte die Aktualisierung möglichst bald manuell vornehmen.  (jt)


Verwandte Artikel:
Mozilla: Neue Thunderbird-Version behebt Abstürze unter Windows   
(28.12.2017, https://glm.io/131880 )
Juli 2018: Chrome bestraft Webseiten ohne HTTPS   
(09.02.2018, https://glm.io/132689 )
Fluggastdaten: Regierung dementiert Hackerangriff auf deutsches PNR-System   
(10.03.2018, https://glm.io/133261 )
Avast: CCleaner-Infektion enthielt Keylogger-Funktion   
(09.03.2018, https://glm.io/133255 )
Gesichtserkennung: British Airways testet biometrische Systeme beim Boarding   
(09.03.2018, https://glm.io/133244 )

© 1997–2019 Golem.de, https://www.golem.de/