Sicherheits-Update für Thunderbird

Mit Thunderbird 3.0.1 stellen die Mozilla-Entwickler das erste Sicherheits-Update für die neue Generation ihres kostenlos erhältlichen Mail-Programms bereit. Sie haben in der neuen Version drei Sicherheitslücken geschlossen, die als kritisch eingestuft sind, weil sie das Einschleusen und Ausführen von beliebigem Code ermöglichen könnten.

Alle drei Schwachstellen betreffen auch die Browser Firefox und Seamonkey, sind jedoch in deren aktuellen Versionen bereits beseitigt. Der erste Fehler ist ein Ganzzahlüberlauf in der Programmbibliothek "libtheora". Mit einem speziell präparierten, Theora-codierten Video könnte ein Angreifer diesen Fehler ausnutzen. Die Theora-Version 1.1 ("Thusnelda") enthält diesen Fehler bereits nicht mehr, Mozilla setzt jedoch eine ältere Fassung ein.

Die zweite Schwachstelle besteht aus einer Reihe von Fehlern in der Programmbibliothek "liboggplay", die etwa zum Abspielen von Ogg-Vorbis-codierten Audiodateien benötigt wird. Auch diese Fehler könnten einen Angreifer in die Lage versetzen bei einem provozierten Programmabsturz beliebigen Code einzuschleusen und auszuführen.

Außerdem haben die Mozilla-Entwickler mehrere Stabilitätsprobleme im Browser-Modul beseitigt, von denen einige sicherheitsrelevant sind. Sie zeigen unter bestimmten Umständen Anzeichen von Speicherverletzungen und könnten bei genügendem Aufwand ausgenutzt werden, um Code einzuschleusen.

Schließlich bringt Thunderbird 3.0.1 eine lange Liste von Fehlerkorrekturen, die jedoch nicht als Sicherheitslücken gelten. Dazu zählt etwa ein Problem mit Kasperskys Anti-Spam-Modul sowie Abstürze bei der automatischen Vervollständigung von Mail-Adressen oder beim Import von Outlook-Kontakten.