Die Version 102.8 von Thunderbird schließt Schwachstellen, durch die Angreifer die Kontrolle über ein System erlangen könnten. Davor warnt die CISA.
Das Update auf den Mail-Client Thunderbird 102.8 schließt Sicherheitslücken, die Angreifern offenbar das Kompromittieren eines betroffenen Systems ermöglicht. Die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt daher, dass Nutzerinnen und Nutzer die bereitstehende Aktualisierung anwenden sollten.
Thunderbird-Lücken aus Firefox-ESR-Basis
Thunderbird setzt auf die Codebases von Firefox ESR. Damit schließt die aktuelle Fassung 102.8 auch die Sicherheitslücken, die in dem Firefox-ESR-Webbrowser gleicher Version abgedichtet wurden. Die Thunderbird-Entwickler weisen in den Security-Advisories darauf hin, dass sich die meisten Lücken nicht direkt durch eingehende E-Mails missbrauchen lassen. Sie stellen jedoch im browser-artigen Kontext eine Gefahr dar. Dateianhänge in E-Mails, die etwa wie PDF-Dateien direkt in Thunderbird angezeigt werden, könnten darunter fallen.
Eine der ausgebesserten Schwachstellen ermöglicht Angreifern jedoch, die Bedienoberfläche von Thunderbird lahmzulegen. Dazu müssten sie eine E-Mail speziell präparieren, die OpenPGP- und OpenPGP-MIME-Daten in einer bestimmten, nicht näher erläuterten Art und Weise kombiniert. Dies schickt Thunderbird in eine Endlosschleife, in der der Mail-Client versucht, die Mail zu verarbeiten und anzuzeigen (CVE-2023-0616, Risiko “niedrig“).
Die Entwickler von Thunderbird schätzen das Update daher insgesamt als niedriges Risiko ein. Allerdings könnten die anderen Lücken sich auf kleinen Umwegen offenbar bis zum Einschleusen und Ausführen von Schadcode missbrauchen lassen. Die ursprüngliche Webseite der CISA-Warnung liefert zurzeit eine Zugriff-verweigert-Meldung. Sie lässt sich jedoch im Google-Cache auffinden und aufrufen. Die oberste IT-Sicherheitsbehörde der USA empfiehlt Nutzern und Administratoren dort, die Aktualisierung anzuwenden.
Dazu können Betroffene über das Einstellungsmenü gehen, dort unter “Hilfe” den Punkt “Über Mozilla Thunderbird” aufrufen und starten damit den Aktualisierungsprozess, sofern der noch nicht gelaufen ist. Gegebenenfalls müssen Nutzer dort noch den Neustart des E-Mail-Clients anstoßen. Linux-Nutzer erhalten das Update für gewöhnlich über die distributionseigene Softwareverwaltung.
Die Mozilla-Entwickler planen derweil, Thunderbird komplett umzukrempeln. Dazu gehört die Neugestaltung der Thunderbird-Oberfläche, die Modernisierung der Codebasis und die Einführung eines monatlichen Release-Zyklus.