Thunderbird 78.6.1 stopft kritische Sicherheitslücke

Mozilla warnt vor einer kritischen Schwachstelle (CVE-2020-16044) im E-Mail-Client Thunderbird. Mit ausreichendem Aufwand könne dieser Fehler genutzt werden, um beliebigen Code einzuschleusen und auszuführen. Abhilfe schafft das Update auf die bereits verfügbare Version 78.6.1.

Ein bösartiger Peer in einem Computernetzwerk kann einen COOKIE-ECHO-Block in einem SCTP-Paket auf eine bestimmte Weise manipulieren, die im Thunderbird zu einem Speicherfehler führt. Konkret wird ein Objekt, das bereits aus dem Arbeitsspeicher entfernt wurde, aufgerufen (Use-After-Free). Diese Art von Fehlern eignet sich sehr gut, um eine Software kontrolliert zum Absturz zu bringen und dabei Schadcode im Speicher zu platzieren, der dann im Rahmen des Absturzes ausgeführt wird. Bisher gibt es glücklicherweise noch keinen Exploit-Code für diese Schwachstelle, doch dies ist vermutlich nur eine Frage der Zeit.

Download: Thunderbird 78.6.1