MSI Assassins Bundle

Thunderbird 52.5.2 verbessert Sicherheit

reported by doelf, Samstag der 23.12.2017, 18:11:03 Uhr

Im Herbst 2017 wurde ein Sicherheits-Audit für den Thunderbird und dessen Erweiterung Enigmail durchgeführt, das mehrere Sicherheitslücken und Design-Schwächen offenbarte. Nun liegt der Thunderbird 52.5.2 zum Download bereit, der diese Schwachstellen weitgehend beseitigt und auch das Absender-Spoofing über die Mailsploit-Lücken unterbindet.

Das Sicherheits-Audit wurde vom E-Mail-Anbieter Posteo und dem Mozilla SOS Fund finanziert und von unabhängigen Sicherheitsingenieuren von Cure53 durchgeführt. Während der quelloffene E-Mail-Client Thunderbird und die Enigmail-Erweiterung, welche eine OpenPGP-Verschlüsselung nachrüstet, auf dem Papier wie ein sicheres Team wirken, offenbarten die Untersuchungen 22 Schwachstellen - drei wurden als kritisch eingestuft und fünf weitere bergen ein hohes Risiko. Die Sicherheitsexperten diagnostizierten zudem generelle Design-Schwächen in der Add-on-Architektur des Thunderbird.

Letzteres ist nicht neu, denn der Thunderbird teilt sich die Plugin- und Add-on-Architektur mit dem Firefox und diese hat sich über viele Jahre entwickelt. Das Ergebnis sind unterschiedliche Erweiterungsarchitekturen, deren ältere Varianten überaus mächtig sind und im Prinzip alle Teile des E-Mail-Clients verändern und damit auch manipulieren können. Der Firefox hatte sich daher in der Version 57 von allen Erweiterungen auf Basis der veralteten Architekturen getrennt. Der aktuelle Thunderbird basiert hingegen noch auf dem Firefox 52 ESR und das wird sich auch erst mit dem Thunderbird 60 ESR im Mai 2018 ändern.

Die Entwickler von Thunderbird und Enigmail waren in die Sicherheitsüberprüfung eingebunden und haben sich bereits um die gefundenen Schwachstellen gekümmert. Enigmail 1.9.9 und Thunderbird 52.5.2 dürfen als sicher betrachtet werden, solange man auf zusätzliche Erweiterungen und die Nutzung von RSS-Feeds verzichtet. Die Analyse hatte nämlich auch schwerwiegende Sicherheitsprobleme bei der Verarbeitung von RSS-Feeds offenbart, über die Angreifer die Kommunikation aus der Ferne einsehen können. Laut Posteo darf man erst beim Thunderbird 59 mit einer vollständigen Absicherung der RSS-Feeds rechnen. Da der Thunderbird jedoch auf dem Firefox ESR basiert, wird auf die Version 52.7.0 der Thunderbird 60.0 folgen.

Download:

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]