MSI Beef-Up

Thunderbird 52.7.0 behebt kritische Sicherheitslücken

reported by doelf, Mittwoch der 28.03.2018, 10:53:57 Uhr

Die neue Version 52.7.0 des E-Mail-Clients Thunderbird kümmert sich um sechs Sicherheitslücken. Drei der Schwachstellen sind kritischer Natur, zwei wurden als hochgradig gefährlich klassifiziert und die sechste stellt ein moderates Risiko dar. Dazu gibt es zwei nicht sicherheitsrelevante Fehlerkorrekturen.

Die sechs Sicherheitslücken
Wie schon beim Firefox 59.0.2 wurde auch im Thunderbird 52.7.0 ein unkontrollierter Schreibzugriff in der Bibliothek libvorbis (CVE-2018-5146) korrigiert. Diese Sicherheitslücke wurde ebenso als kritisch bewertet wie zwei weitere Einträge (CVE-2018-5125 und CVE-2018-5145), in denen Mozilla mehrere Speicherfehler zusammenfasst. Diese Speicherfehler lassen sich vermutlich zum Einschleusen von Schadcode missbrauchen, sie wurden beim Firefox bereits in der Version 59.0 (sowie im Firefox 52.7 ESR) korrigiert.

Ein Pufferüberlauf beim Manipulieren der animatedPathSegList von SVG-Bildern mit Hilfe von Scripten (CVE-2018-5127) führt zu einem potentiell angreifbaren Programmabsturz. Manipulierte IPC-Mitteilungen können einen unkontrollierten Schreibzugriff (CVE-2018-5129) ermöglichen, der sich zur Flucht aus der Sandbox missbrauchen lässt. Diese beiden Schwachstellen wertet Mozilla als hochgefährlich, während ein Ganzzahlenüberlauf bei der Unicode-Umwandlung nur ein mittleres Risiko darstellt.

Die Fehlerkorrekturen
Die Suche in Mitteilungen, welche lokal gespeichert sind, berücksichtigt nun auch die Anhänge - dies betrifft auch alle Filteroperationen, welche die Anhänge bisher ebenfalls ignoriert hatten. Benutzer von Yahoo-Konten dürfen sich über die zweite nicht sicherheitsrelevante Korrektur freuen: Der Thunderbird 52.7.0 bringt ihnen eine bessere Problembehandlung.

Download: Thunderbird 52.7.0