Thunderbird 17.0.4 schließt Sicherheitslücke
Eine neue Version für Thunderbird erschien, um eine Sicherheitslücke zu schließen, über die im HTML-Editor Schadcode hätte ausgeführt werden können.
Version 17.0.4 des E-Mail-Programms Thunderbird schließt eine "use-after-free"-Lücke im HTML-Editor für E-Mails. Laut Fehlerbericht [1] betraf das die Funktion document.execCommand(). Durch die Lücke konnte freigewordener Speicher auch für die Ausführung von Schadcode verwendet werden. Der Fehler soll nun behoben sein. Die neue Version wird derzeit an alle Thunderbird-Nutzer über die automatische Installation verteilt. Alternativ ist sie als Download [2] erhältlich.
Die Lücke trat auch in Firefox auf, dort ist sie bereits geschlossen. Auf der Konferenz CanSec West wurde der Fehler von der Gruppe Vupen gefunden und berichtet. Um diesen ausnutzen zu können muss das Ausführen von Skripten aktiviert sein, was in Thunderbird per Voreinstellung deaktiviert ist.
Siehe dazu auch:
- Thunderbird [3] im heise Software-Verzeichnis
- Thunderbird Portable [4] im heise Software-Verzeichnis
(rzl [5])
URL dieses Artikels:
https://www.heise.de/-1821983
Links in diesem Artikel:
[1] https://bugzilla.mozilla.org/show_bug.cgi?id=848644
[2] https://www.mozilla.org/en-US/thunderbird/all.html
[3] http://www.heise.de/download/thunderbird.html
[4] http://www.heise.de/download/thunderbird-portable.html
[5] mailto:rzl@heise.de
Copyright © 2013 Heise Medien