Thunderbird: Drei Sicherheitslücken mit hohem Risiko entdeckt
Die zwei gefährlicheren der insgesamt drei identifizierten Sicherheitslücken im E-Mail-Client Thunderbird erlauben es Angreifern potentiell, beliebigen Code ohne jede Authentifizierung etwa über use-after-free (CVE-2017-7828) auszuführen.
Die dritte Lücke mit der Kennung CVE-2017-7830 erlaubt Angreifern potentiell das Stehlen von privaten Benutzerinformationen. Konkret betroffen sind Mozilla zufolge alle Thunderbird-Versionen für Windows, macOS und Linux, lediglich die neueste Version 52.5 ist gegen die Fehler abgesichert.
Mozilla weißt darauf hin, dass die Fehler aufgrund der standardmäßigen Deaktivierung von Script-Ausführung beim reinen Betrachten von E-Mail nicht auftreten können, sondern lediglich Browsern oder Browser-ähnlichen Umgebungen. Das BSI bescheinigt den Lücken ein sehr hohes Risiko.