Der Mail Client Thunderbird hat ein Update auf die Version 52.9.0 bereitgestellt, die neben Problemen und einer Änderung bei IMAP-Konten auch drei kritische, sowie weitere neu hohe bis niedrige Sicherherheitslücken behebt. Die Änderung betrifft IMAP Konten. Thunderbird fordert nun dazu auf, IMAP-Ordner zu komprimieren, auch wenn das Konto online ist.
Die EFAIL-Schwachstelle wurde nun vollständig behoben. Entfernt wurde HTML, das zur Ausführung eines Angriffs erstellt wurde. Wahlweise: Das nicht-entschlüsseln untergeordneter Nachrichtenteile, die dem Angreifer sonst entschlüsselte Inhalte preisgeben könnten durch eine Änderung in der Einstellung: mailnews.p7m_subparts_external Dieses muss für zusätzliche Sicherheit auf true gesetzt werden.
Die Sicherheitslücken können im Allgemeinen nicht ausgenutzt werden, da das Scripting beim Lesen von E-Mails deaktiviert ist. Sie können aber potentielle Risiken in Browser- oder Browser-ähnlichen Kontexten darstellen. Weiterhin wurden Speichersicherheitslücken in Firefox 60, Firefox ESR 60, Firefox ESR 52.8 und Thunderbird 52.8 entdeckt. Einige dieser Fehler zeigten Hinweise auf eine Speicherbeschädigung und wir gehen davon aus, dass mit genügend Aufwand einige dieser Fehler ausgenutzt werden könnten, um beliebigen Code auszuführen.
Alle weiteren Sicherheitsprobleme könnt ihr hier nachlesen: mozilla.org/security. Die Release Notes findet ihr HIER.
Na toll.
Nun nervt Thunderbird fast bei jedem Start das die Ordner komprimiert werden sollten