Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software CISA warnt: Mögliche System-Kompromittierung durch Lücken in Thunderbird

Die Version 102.8 von Thunderbird schließt Schwachstellen, durch die Angreifer die Kontrolle über ein System erlangen könnten. Davor warnt die CISA.

Du musst Regestriert sein, um das angehängte Bild zusehen.


Das Update auf den Mail-Client Thunderbird 102.8 schließt Sicherheitslücken, die Angreifern offenbar das Kompromittieren eines betroffenen Systems ermöglicht. Die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt daher, dass Nutzerinnen und Nutzer die bereitstehende Aktualisierung anwenden sollten.

Thunderbird-Lücken aus Firefox-ESR-Basis

Thunderbird setzt auf die Codebases von Firefox ESR. Damit schließt die aktuelle Fassung 102.8 auch die Sicherheitslücken, die in dem Firefox-ESR-Webbrowser gleicher Version abgedichtet wurden. Die Thunderbird-Entwickler weisen in den Security-Advisories darauf hin, dass sich die meisten Lücken nicht direkt durch eingehende E-Mails missbrauchen lassen. Sie stellen jedoch im browser-artigen Kontext eine Gefahr dar. Dateianhänge in E-Mails, die etwa wie PDF-Dateien direkt in Thunderbird angezeigt werden, könnten darunter fallen.

Eine der ausgebesserten Schwachstellen ermöglicht Angreifern jedoch, die Bedienoberfläche von Thunderbird lahmzulegen. Dazu müssten sie eine E-Mail speziell präparieren, die OpenPGP- und OpenPGP-MIME-Daten in einer bestimmten, nicht näher erläuterten Art und Weise kombiniert. Dies schickt Thunderbird in eine Endlosschleife, in der der Mail-Client versucht, die Mail zu verarbeiten und anzuzeigen (CVE-2023-0616, Risiko "niedrig").

Die Entwickler von Thunderbird schätzen das Update daher insgesamt als niedriges Risiko ein. Allerdings könnten die anderen Lücken sich auf kleinen Umwegen offenbar bis zum Einschleusen und Ausführen von Schadcode missbrauchen lassen. Die ursprüngliche Webseite der CISA-Warnung liefert zurzeit eine Zugriff-verweigert-Meldung. Sie lässt sich jedoch im Google-Cache auffinden und aufrufen. Die oberste IT-Sicherheitsbehörde der USA empfiehlt Nutzern und Administratoren dort, die Aktualisierung anzuwenden.

Dazu können Betroffene über das Einstellungsmenü gehen, dort unter "Hilfe" den Punkt "Über Mozilla Thunderbird" aufrufen und starten damit den Aktualisierungsprozess, sofern der noch nicht gelaufen ist. Gegebenenfalls müssen Nutzer dort noch den Neustart des E-Mail-Clients anstoßen. Linux-Nutzer erhalten das Update für gewöhnlich über die distributionseigene Softwareverwaltung.

Die Mozilla-Entwickler planen derweil, Thunderbird komplett umzukrempeln. Dazu gehört die Neugestaltung der Thunderbird-Oberfläche, die Modernisierung der Codebasis und die Einführung eines monatlichen Release-Zyklus.

Quelle; heise
 
Wie ich schon in einem anderen Thread erwähnt habe, benutze ich momentan Testweise den Thunderbird, allerdings in Portabler Version.
Wenn der genau so gut funktioniert, bzw. besser sein sollte, werde ich mich von meinem Standard Mail Programm auf meinem PC "Outlook" verabschieden!

Momentan habe ich noch etwas mit der Funktionalität (Bedienung) Probleme.
Allerdings sind diese bestimmt nur Gewöhnungsbedingter Natur. :)
 
Zurück
Oben