Serviceforen’s Weblog

Nachdem vor zwei Wochen Firefox aktualisiert wurde, erscheint heute die neue Version von Thunderbird.

Die Version 2.0.0.14 des beliebten Mozilla Mail-Client’s behebt zwei kritische Sicherheitslücken. Die beiden Lücken, durch die Schadcode eingeschleust werden kann, betreffen Javaskript.

Im Thunderbird ist Javaskript standardmäßig deaktiviert, von einer Aktivierung wird durch die Mozilla-Entwickler abgeraten.

In der Sicherheitsmeldung MFSA2008-15 werden Abstürze behandelt, bei denen Speicherbereiche durcheinander geraten. Dadurch ist es möglich Schadcode einzuschleusen.

In der Sicherheitsmeldung MFSA2008-14 wird darüber berichtet das Angreifer durch präpariertes Javaskript ihre Rechte erweitern und Schadcode ausführen können.

Die integrierte Update-Funktion von Thunderbird bietet das Update bereits zu Download an.

Alternativ kann es bei Mozilla heruntergeladen werden.

Download Mozilla Thunderbird 2.0.0.14

Diskussion zur Nachricht

Heute ist die neue Version von Firefox erschienen. In der Version 2.0.13 werden mehrere Sicherheitslücken geschlossen.

Durch die Sicherheitslücken konnte Schadcode eingeschleust werden oder Seiteninhalte gefälscht werden.

Durch Lücken im Javascript konnten Angreifer schadhaften Code mit vollen Rechten ausführen. Zudem war Cross-Site-Scripting möglich.

Durch eine weitere Lücke konnte der Angreifer per Java-Applets auf alle Ports des Rechners zugreifen.
Sun hatte zwischenzeitlich schon reagiert und Routinen zum Schutz in sein Javascript eingebaut. Nun hat auch Mozilla das Problem beseitigt.

Eine weitere Sicherheitslücke betrifft rahmenlose Popups. Es war möglich das Popup unbemerkt vor den eigentlichen Seiteninhalt zu schieben und somit Logindaten abzufangen und auszuspionieren.

Auch Thunderbird wurde auf Version 2.0.0.13 gepatcht. Seamonkey gibt es in Version 1.1.9. Die Sicherheitslücken sind auch dort vorhanden.

Noch werden die Updates nicht automatisch ausgeliefert. Man sollte sie trotzdem schnellst möglich installieren.

Diskussion zur Nachricht

Apple möchte mit allen Mitteln den Marktanteil von seinem Safari-Browser steigern.

Safari hat derzeit einen Marktanteil von gerade mal 5,7%. Mozilla’s Firefox und Microsoft’s Internet Explorer stehen da deutlich besser da.

Vor kurzem wurde Safari auf die Version 3.1 geupdatet. Seit dieser Aktualisierung wird der Browser, auf Windows PC’s, über die automatische Update Funktion von iTunes installiert.

Dabei ist es egal ob der Benutzer jemals den Safari-Browser genutzt hat oder nicht. Der automatische Download und die Installation kann nur verhindert werden wenn man beim Update den Safari-Download explizit ausschließt.

Der Mozilla Chef John Lilly verurteilt diese Art der Verbreitung in seinem Blog scharf.
Diese Art der Softwareverbreitung zerstört das mühsam aufgebaute Vertrauen der Benutzer in automatisierte Software Updates.

Diskussion zur Nachricht

Heute hat Mozilla die Thunderbird Version 2.0.0.12 veröffentlicht. Die meisten Benutzer erhalten automatisch eine Updatemeldung.

Im aktuellen Update werden 5 Sicherheitslücken geschlossen.

Die Entwickler stufen eine Lücke als kritisch ein da über sie schädlicher Programmcode eingespielt werden kann.

Mit speziellt präparierten Anhängen kann durch einen Pufferüberlauf schädlicher Programmcode auf den Rechner eingespielt werden.
Thunderbird reserviert für Anhänge die mit MIME kodiert wurden möglicherweise 3 Bytes zu wenig.

Die anderen Fehler sind auch in FireFox oder SeaMonkey vorhanden gewesen, wurden dort allerdings schon behoben.
Durch manipulierte BMP Bilder konnten Speicherbereiche ausgelesen werden.
Benutzer von Thunderbird sollten schnellst möglich die neue Version einspielen.

http://www.mozilla-europe.org/de/products/thunderbird/

Diskussion zur Nachricht