Im Email-Client Thunderbird konnten Angreifer Programmabstürze durch Scripting als Einfallstore für Angriffe missbrauchen, die das Update von Mozilla verhindert.

Es sind total 13 Sicherheitslücken in Mozillas Email-Client Thunderbird bis inklusive der Version 52.8.

Nach dem aktuellem Security Advisory gelten vier davon als kritisch.

Vier kritische Sicherheitslücken

Eine der Lücken kann „mit ausreichend Aufwand“ missbraucht werden, um darüber beliebigen Code auf verwundbaren Versionen von Thunderbird auszuführen.

Andere gestatten das Herbeiführen eines Programmabsturzes, der Angreifern verschiedene Exploits erlaubt. Zu den aufgeführten und durch das Update jetzt geschlossenen Lücken zählt auch Efail. Für Details schauen Sie bitte in die Release Notes.

Hersteller Mozilla weist aber auch darauf hin, dass die meisten der im Advisory aufgeführten Lücken normalerweise  nicht ausgenutzt werden können, weil dies das beim Lesen von Mails ja deaktivierte Scripting erfordert würde.

Trotzdem bestünden aber noch Risiken in Browsern und „browser-ähnlichen Kontexten“. Das US-CERT rät in einem eigenen Sicherheitshinweis zum umgehenden Update.

Die jetzt erschienene Version Thunderbird 52.9 schließt die Sicherheitslücken. Die Benutzer können sie wahlweise manuell herunterladen oder alternativ über ein Update aus der aktuell installierten Version heraus installieren.