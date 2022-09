Frank Ziemann

Mozilla hat heute ein wichtiges Sicherheits-Update für Thunderbird bereitgestellt. Es beseitigt mehrere Schwachstellen, darunter ein Datenleck, das Angreifer ausnutzen könnten, um sensible Informationen auszuleiten.

Vergrößern Update für Thunderbird © MZLA

Mit dem heutigen Update auf Thunderbird 102.2.1 schließen die Entwickler vier Sicherheitslücken in Mozillas Mail-Programm. Mozilla stuft eine Schwachstelle (CVE-2022-3033) als hohes Risiko ein, die drei übrigen Lücken gelten als mittleres Risiko. Außerdem werden zahlreiche nicht sicherheitsrelevante Fehler beseitigt.



Mit einer speziell präparierten Mail könnte ein Angreifer Thunderbird veranlassen, eine durch den Angreifer kontrollierte Internet-Adresse (URL) aufzurufen, Javascript-Code auszuführen und Daten an diese URL zu senden. Um die Lücke CVE-2022-3033 auszunutzen, muss die präparierte HTML-Mail einen Meta-Tag mit dem Attribut «http-equiv="refresh"» enthalten, dessen Content-Attribut eine URL spezifiziert. Verfasst ein Benutzer eine Antwort auf diese Mail, würde Thunderbird eine Verbindung zu dieser URL aufbauen, auch wenn das Mail-Programm so konfiguriert ist, dass es externe Inhalte blockiert.



Mit weiteren HTML-Konstrukten könnte Javascript ausgeführt werden, während die Antwort-Mail noch geöffnet ist. Der Javascript-Code könnte zum Beispiel Teile der Antwort lesen, verändern und/oder an die besagte URL senden oder auch die Ziel-URL ändern. Dabei könnte auch der zitierte Inhalt der ursprünglichen Mail manipliert und/oder ausgeleitet werden, selbst wenn er ursprünglich verschlüsselt war. Selbst wenn sich der Benutzer entschließen würde, die Antwort-Mail gar nicht abzusenden, wären bis dahin verfasste oder eingefügte Inhalte der Antwort womöglich bereits unbemerkt abgeflossen.



Wenn Sie Thunderbird so eingestellt haben, dass der Text der Mail standardmäßig als vereinfachtes HTML („simple html“) oder reiner Text („plain text“) dargestellt wird, betrifft Sie diese Schwachstelle nicht.



Weitere Schwachstellen mit geringerem Risiko

Eine weitere Sicherheitslücke, CVE-2022-3032, lässt es zu, dass Thunderbird externe Inhalte nachlädt, auch wenn diese standardmäßig blockiert werden. Dazu muss eine präparierte Mail ein iframe-Element enthalten, in dem ein srcdoc-Attribut auf eine Datei im Internet verweist. Das könnte etwa ein Bild oder ein Video sein. Thunderbird würde diese Datei laden und anzeigen.



Die Schwachstelle CVE-2022-3034 ähnelt der vorgenannten Lücke, allerdings würde Thunderbird die externe Datei nicht anzeigen. Die Anfrage an den Rechner im Internet ginge jedoch raus, womit der Angreifer zumindest erfahren würde, dass die Mail geöffnet wurde. Genau das sollte eigentlich vermieden werden.



Schließlich kann die vierte Sicherheitslücke, CVE-2022-36059, ausgenutzt werden, um einen DoS-Angriff (Denial of Service) auszuführen. Voraussetzung ist, dass der Benutzer das Matrix Chat-Protokoll verwendet und sich der Angreifer im selben Chat-Room befindet.

Thunderbird 91.x hat ausgedient

Den Versionszweig Thunderbird 91.x hat Mozilla nach dem Update auf die Version 91.13.0 vom 23. August ausgemustert und liefert keine weiteren Updates. Wenn Sie noch mit dieser Generation des Mail-Programms arbeiten, sollten Sie das angebotene Update auf Thunderbird 102 durchführen. Nur für diese neue Generation liefert Mozilla weiterhin Sicherheits-Updates sowie neue Funktionen und beseitigt Fehler.