Menü: WeBLOG
| Thunderbird-Sicherheitsleck (13.06.2025) |
 Für den E-Mail-Client Thunderbird wurden Updates veröffentlicht, welche ein gravierendes Sicherheitsleck beim Verarbeiten von HTML-E-Mails stopfen. Angreifer können durch präparierte Mailbox-Links das automatische Herunterladen (ohne jegliche Rückfrage) von externen PDF-Dateien auf das Desktop oder in das Home-Verzeichnis des Benutzers provozieren, selbst wenn die automatische Speicherung deaktiviert ist. |
| Dieses Verhalten kann missbraucht werden, um die Festplatte mit Datenmüll zu füllen (auch unter Linux) und/oder um Windows-Anmeldeinformationen über SMB-Links preiszugeben, wenn die E-Mail im HTML-Modus angezeigt wird. Obwohl zum Herunterladen der PDF-Datei eine Benutzerinteraktion erforderlich ist, kann visuelle Verschleierung den Download-Auslöser verbergen, dann reicht die einfache Anzeige einer HTML-E-Mail bereits aus. Die Schwachstelle "CVE-2025-5986" wird bei Enisa unter der Nummer EUVD-2025-18099 geführt. Mit einem CVSS-Wert von 6.5 wird das Risiko dort mit "mittel" eingestuft. Die Mozilla-Entwickler selbst schätzen die Schwachstelle hingegen mit dem Risiko "hoch" ein. Wer mit Thunderbird arbeitet, sollte prüfen, ob die eingesetzte Version die fehlerbereinigten Stände 128.11.1 bzw. 139.0.2 oder neuer/höher aufweist und wenn nicht, sofort ein Update anstossen. Linux-Distributionen erhalten das Update über deren Software-Verwaltung. |
 Kommentieren
|
Menü: WeBLOG
