MSI Cashback Aktion

Thunderbird 52.9.1 schließt Efail-Lücken

reported by doelf, Donnerstag der 12.07.2018, 21:50:19 Uhr

Im Mai 2018 hatten Sicherheitsexperten rund um den Münsteraner Professor Sebastian Schinzel massive Schwachstellen bei verschlüsselten E-Mails aufgedeckt und publiziert. Im Anschluss wurden viele E-Mail-Clients und Erweiterungen für den verschlüsselten E-Mail-Versand gehärtet, auch der Thunderbird. Doch erst mit der neuen Version 52.9.1 sind die Efail-Korrekturen abgeschlossen.

Änderungen und Korrekturen
Der Thunderbrid 52.9.1 entfernt HTML-Code, der sich für Angriffe auf die Verschlüsselung eignet. Optional kann man zudem das Entschlüsseln von untergeordneten Nachrichtenteilen, über die der Angreifer Informationen über den verschlüsselten Inhalt erlangen kann, unterbinden. Hierzu muss die Einstellung mailnews.p7m_subparts_external auf True gesetzt werden. Abseits von Efail empfiehlt der Thunderbird nun das Komprimieren der IMAP-Ordner und behebt diverse Probleme bei der Inline-Weiterleitung von Mitteilungen unter Verwendung der einfachen HTML-Ansicht. Beim Löschen oder Lösen von Anhängen konnten Nachrichten beschädigt werden. Dieses Problem, welches einzig beim Thunderbird 52.9.0 auftritt, wurde behoben.

Geschlossene Sicherheitslücken
Der Thunderbird 52.9.1 schließt zwölf Sicherheitslücken, von denen drei als kritisch und fünf als hochgefährlich eingestuft wurden. Hinzu kommen drei moderate und eine vergleichsweise harmlose Schwachstelle. Neben den üblichen Speicherlecks, welche Mozilla unter der Kennung CVE-2018-5188 zusammengefasst hat, gibt es einen Pufferüberlauf beim dynamischen Anpassen der Größe von Canvas-Elementen (CVE-2018-12359) sowie ein Fokussieren bereits gelöschter Elemente (CVE-2018-12360). Diese kritischen Fehler führen zu Abstürzen, die sich möglicherweise zum Einschleusen von Schadcode eignen. Auch zwei der hochgefährlichen Lücken, ein Ganzzahlenüberlauf beim Einsatz von SSSE3 für Grafikberechnungen (CVE-2018-12362) und ein Zugriff auf zuvor in ein anderes Dokument verschobene DOM-Nodes (CVE-2018-12363), bergen diese Gefahr.

Download: Thunderbird 52.9.1

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]