Ebenso wie für den Firefox 100.0.2 und 91.9.1 ESR und auch Android 100.3 wurde auch für Thunderbird ein Sicherheitsupdate von Mozilla bereitgestellt. Das Update dürfte in den nächsten Stunden auch über die Update-Funktion erhältlich sein.
Die Seite für die Security-Fixes wurde zwar noch nicht aktualisiert, aber man kann davon ausgehen, dass auch hier beide Sicherheitslücken geschlossen wurden, wie im Firefox. [Update]: Und es ist auch so
Korrekturen im Thunderbird 91.9.1
- Es wurden zwei Sicherheitslücken geschlossen. Beide wurden mit „High“ eingestuft
- Wenn ein Angreifer in der Lage war, die Methoden eines Array-Objekts in JavaScript via „prototype pollution“ zu manipulieren, hätte er die Ausführung von angreiferkontrolliertem JavaScript-Code in einem privilegierten Kontext erreichen können.
- Ein Angreifer hätte eine Nachricht an den übergeordneten Prozess senden können, deren Inhalt dazu verwendet wurde, einen doppelten Index in ein JavaScript-Objekt einzubringen. Was zu einer Verfälschung von Einträgen und schließlich zur Ausführung von vom Angreifer kontrolliertem JavaScript im privilegierten übergeordneten Prozess führte.
Info und Download:
- thunderbird.net/de/
- thunderbird.net/thunderbird/91.9.1/releasenotes
- mozilla.net/thunderbird/releases/91.9.1
Thunderbird 91.9.1 schließt Sicherheitslücken
Mozilla Thunderbird 91.10.0
https://www.thunderbird.net/en-US/thunderbird/91.10.0/releasenotes/