Original-URL des Artikels: https://www.golem.de/news/mozilla-neue-thunderbird-version-behebt-abstuerze-unter-windows-1712-131880.html    Veröffentlicht: 28.12.2017 11:57    Kurz-URL: https://glm.io/131880

Mozilla

Neue Thunderbird-Version behebt Abstürze unter Windows

Das Update 52.5.2 behebt einen Fehler, der zum Absturz des E-Mail-Programms führen kann. Windows-Nutzer sollten sich das Update installieren. Auch mehrere Sicherheitslücken im RSS Feed werden behoben - das gilt für alle Betriebssysteme.

Seit Ende Dezember steht ein neues Update für Mozillas kostenlosen E-Mail-Client Thunderbird zum Download bereit. Dieses sollte vor allem von Windows-Nutzern installiert werden. Es behebt einen kritischen Bug, der das Programm zum Abtsurz bringt. Mozilla fügt hinzu, dass diese Schwachstelle auch potenziell ausgenutzt werden kann.

Allerdings werden mit dem Update 52.5.2 auch zwei weitere schwere Bugs im RSS Feed des Programms und zwei weniger gravierende Fehler behoben. Der Patch kann als Reaktion auf das Audit angesehen werden, das Mitte Dezember mehrere Sicherheitslücken in Thunderbird und Enigmail aufdeckte.

Der Bug CVE-2017-7845 ist es, der einen Buffer Overlow hervorrufen kann. Dieser tritt auf, wenn Thunderbird mit der Angle-Grafikbibliothek und Direct 3D 9 versucht, Elemente zu zeichnen - beispielsweise für das Anzeige von WebGL-Inhalten. Das Programm übergibt einen falschen Wert innerhalb der Grafikbibliothek und kann daraufhin abstürzen. Mozilla stuft diesen Fehler als kritisch ein. Allerdings sind Nutzer von Linux- oder Mac-Systemen nicht betroffen, heißt es.

RSS Feeds sind Angriffspunkt für Fremdcode

Den Bug CVE-2017-7846 stuft Mozilla mit hoher Priorität ein. Er beschreibt einen Fehler im RSS Feed des Programms, bei dem Javascript-Code ausgeführt werden kann, wenn der Feed als eine Webseite angezeigt wird. Gleich hoch eingestuft ist der Fehler CVE-2017-7847. Erstellte Cascading Style Sheets (CSS) in einem RSS Feed können lokale Pfadvariablen als String sichtbar machen. Darin kann der Nutzername erkannt werden.

Weniger kritisch sind zwei weitere Bugs. CVE-2017-7848 kann über RSS-Feld leere Zeilen einfügen, was das Layout einer Nachricht verändern kann. CVE-2017-7849 hat nur eine niedrige Bedrohungseinstufung erhalten. Trotzdem kann darüber die E-Mail-Adresse des Absenders verschleiert werden, wenn vor dem Display-String ein Null-Zeichen gesetzt wird.

All diese Fehler werden mit dem Update 52.5.2 behoben, das über die App selbst oder auf der Mozilla-Seite heruntergeladen werden kann.  (on)


Verwandte Artikel:
E-Mail-Client: Thunderbird soll weitere Mitarbeiter bekommen   
(20.12.2017, https://glm.io/131784 )
Verschlüsselung: Audit findet schwerwiegende Sicherheitslücken in Enigmail   
(20.12.2017, https://glm.io/131778 )
Firefox 4.0.1: Erstes Update für die neue Firefox-Version   
(29.04.2011, https://glm.io/83120 )
Juli 2018: Chrome bestraft Webseiten ohne HTTPS   
(09.02.2018, https://glm.io/132689 )
Sicherheitslücke in Mailclients: E-Mails versenden als potus@whitehouse.gov   
(05.12.2017, https://glm.io/131489 )

© 1997–2019 Golem.de, https://www.golem.de/