Bei Mozillas Email-Client Thunderbird wurden gerade zehn Sicherheitslücken geschlossen. Das bereinigte Update Thunderbird 52.6 steht schon zum Download bereit. Zusätzliche Informationen zu den einzelnen Schwachstellen finden Sie In der offiziellen Sicherheitswarnung des Herstellers Mozilla.

Mozilla stuft die Auswirkungen der Schwachstellen laut der Sicherheitswarnung insgesamt als kritisch ein. Allerdings weist der Großteil der Schwachstellen nur den Bedrohungsgrad „hoch“ auf.

Einzig die Schwachstelle CVE-2018-5089 wird auch einzeln von Mozilla als „kritisch“ bewertet. Nutzen Angreifer die Lücken aus, können sie Speicherfehler auslösen und damit den Email-Client zum Zusammenbruch bringen oder sogar Schadcode auf dem betroffenen Rechner ausführen.

Mozilla weist noch darauf hin, dass man diese Schwachstellen in der Standardeinstellung von Thunderbird nicht für Angriffe ausnutzen kann, weil das Scripting bei der Auslieferung deaktiviert ist. Wie entsprechende Angriffe im Detail ablaufen, bleibt aber unklar. Wegen der Einstufung „kritisch“ muss man aber wohl anzunehmen, dass letztlich Angriffe aus der Ferne ohne Authentifizierung möglich sind.