Sicherheitslücke in Thunderbird 2.x

Seit letzter Woche ist die neue Version Thunderbird 3.0 verfügbar. Während Mozilla noch keine Informationen über darin beseitigte Sicherheitslücken der Vorversionen (2.x) heraus gegeben hat, wird von Dritten über eine Schwachstelle berichtet, die den Versionszweig Thunderbird 2.x betrifft. Es handelt sich dabei um einen bereits in Firefox 3.5.4 und 3.0.15 sowie etlichen anderen Programmen behobenen Fehler.

Bei der Umwandlung von Zeichenketten (etwa ein Datum) in eine Fließkommazahl beziehungsweise in ein Array kann ein Angreifer einen Fehler in der aus BSD-Unix stammenden "dtoa"-Routine ausnutzen. Durch eine lange Zeichenkette, die in eine Zahl umgewandelt werden soll, kommt es zu einem Überlauf, der das Ausführen von eingeschleustem Code ermöglichen kann. Für Web-Browser ist Javascript der wesentliche Angriffsvektor. Beispiel-Code ist öffentlich verfügbar, reale Angriffe sind bislang nicht bekannt.

Es geht also nicht um eine bislang unbekannte Sicherheitslücke sondern um eine, die von diversen anderen Programmen bereits bekannt ist. Betroffen sind zum Beispiel die Unix-Derivate FreeBSD, NetBSD, OpenBSD und Mac OS X, die Browser Chrome, Konqueror (KDE/Linux), Opera und Safari sowie Mozilla-basierte Browser wie Flock, K-Meleon, Seamonkey und Camino (Mac OS X).

Während die für meisten der genannten Produkte (außer K-Meleon) bereits Updates erhältlich sind, steht die fehlerbereinigte Version Thunderbird 2.0.0.24 noch ohne Veröffentlichungsdatum auf der Ankündigungsliste von Mozilla. In der Vorabversion Thunderbird 2.0.0.24pre ist die Lücke bereits gestopft.

Da diese Sicherheitslücke auch in Thunderbird 3.0 bereits beseitigt ist, empfiehlt sich der Wechsel zur neuen Generation des Mail-Programms. Die Unterstützung für Thunderbird 2.x wird wohl ohnehin im Laufe des kommenden Jahres auslaufen.

Firefox soll heute Abend in den neuen Versionen 3.5.6 sowie 3.0.16 erscheinen, Seamonkey in Version 2.0.1.