Mozillas Email-Client Thunderbird zeigte drei Sicherheitslücken, von denen zwei als kritisch gelten, warnen die Entwickler des Mailclients. Auch das Notfallteam des BSI CERT Bund stuft das Risiko dieser Schwachstellen insgesamt als „sehr hoch“ ein.

Die Sicherheitslücken sollen in allen Versionen unter Linux, macOS und Windows stecken. Die Ausgabe 52.5 ist schon abgesichert. Weil das Scripting in dem Mailclient standardmäßig deaktiviert ist, sollte sich ein Angriff nicht über Emails einleiten lassen.

Wenn Angreifer die beiden kritische Lücken (CVE-2017-7826, CVE-2017-7828) ausnutzen, sollen sie aus der Ferne ohne Authentifizierung Speicherfehler (z. B.  use-after-free) hervorrufen und darüber Schadcode ausführen können.

Die dritte Schwachstelle (CVE-2017-7830) in Mozillas Donnervogel mit dem Bedrohungsgrad „hoch“ könnten Angreifer als Einstieg zum Diebstahl von Informationen aus dem System ausnutzen.