Thunderbird 78.5.1 schließt Sichertheitslücken

Der finale Thunderbird 78.5.1 liegt für Windows (ab Version 7), macOS (ab Version 10.9) und Linux (ab GTK+ 3.14) zum Download bereit. Neben der Möglichkeit, die Verschlüsselung des Betreffs in OpenPGP zu deaktivieren, gibt es zwölf Korrekturen, darunter Maßnahmen gegen eine hochgefährliche Sicherheitslücke.

Stapelüberlauf durch Server-Antworten
Bei der Schwachstelle handelt es sich um einen Stapelüberlauf beim Parsen der Antwort-Codes von SMTP-Servern (CVE-2020-26970). Der E-Mail-Client schreibt einen Ganzzahlenwert an eine Position, die nur ein Byte aufnehmen kann. Abhängig von der CPU-Architektur und vom Stack-Layout kann es zu einem unkontrollierten Schreibvorgang kommen, der sich möglicherweise von Angreifer ausnutzen lässt.

Fehlerbereinigungen und Optimierungen für den OpenPGP-Einsatz
Die übrigen Korrekturen sind nicht sicherheitsrelevant. Sie stellen beispielsweise sicher, dass das Icon beim Beenden des Programms aus dem System-Tray entfernt wird, dass die Suche nach Mitteilungen auf Wunsch auch auf dem Server ausgeführt wird oder dass Autoconfig über LDAP richtig funktioniert. Verbindungen sind nun auch zu LDAP-Servern mit selbst-signierten Zertifikaten möglich und das Drücken von STRG + Eingabe im Kalender verursacht keine Duplikate mehr.

Das Ausdrucken der Empfänger einer Mailing-Liste im Adressbuch wurde repariert und Ordner, die ungelesene Mails enthalten, werden nun auch im Dark-Theme hervorgehoben. OpenPGP kann Schlüssel aus der Zwischenablage importieren und der Schlüsselmanager soll Schlüssel zuverlässiger finden. Der Import von öffentlichen OpenPGP-Schlüsseln unterstützt neuerdings die Auswahl mehrerer Dateien und kann jetzt auch große Mengen importierter Schlüssel akzeptieren.

Download: Thunderbird 78.5.1