150708

Thunderbird: Problem bei Javascript

Thunderbird führt Javascript aus - auch wenn Javascript abgeschaltet ist.

Thunderbird, das Mail-Programm von Mozilla und somit die naheliegende Ergänzung zu Firefox, enthält einen sicherheitskritischen Fehler bei der Behandlung von Javascript in Mails. Standardmäßig ist Javascript in Thunderbird deaktiviert. Trotzdem kann es unter Umständen Javascript ausführen, meldet das Sicherheitsportal Security Focus .

Die bewussten Umstände sind gegeben, wenn ein Angreifer eine präparierte HTML-Mail mit einer Iframe-Konstruktion sendet, die Javascript-Anweisungen enthält. Beim Öffnen dieser Mail passiert noch nichts. Antwortet der Empfänger jedoch auf die Mail, wird der enthaltene Script-Code ausgeführt. Das kann zum Absturz des Programms und zur Ausführung weiteren, schädlichen Codes führen.

Nach Angaben von Renaud Lifchitz, der diese Anfälligkeit entdeckt und veröffentlicht hat, ist die aktuelle Version 1.5 von Thunderbird nicht betroffen. Anfällig sind demnach jedoch alle Versionen bis einschließlich Thunderbird 1.0.7. Sie sollten daher möglichst bald auf die Mitte Januar bereit gestellte Version 1.5 umsteigen. Zu deren Neuerungen zählen ein Phishing-Filter und die Möglichkeit, Mail-Anhänge zu löschen.

0 Kommentare zu diesem Artikel
150708