Open Source im professionellen Einsatz

Thunderbird 45.8 schließt Lücken

13.03.2017

Mozilla hat mit der Version 45.8 des E-Mail-Clients Thunderbird einige Bugs beseitigt, die zum Teil auch das Ausführen von Code ermöglicht hätten.

115

Eine dieser als kritisch eingestuften Probleme steckt in der Javascript-Komponente Asm.js. Über die Lücke ist so genanntes JIT-Spraying möglich, heißt es in den Security-Advisorys von Mozilla. Die Lücke ließe sich in Kombination mit Heap-Spraying zu einem Speicherüberlauf nutzen, mit dem sich unter Umständen auch ASLR und DEP umgehen lassen. Auch die zweite Lücke hat mit manipuliertem Speicherzugriff zu tun und provoziert unter Umständen einen Absturz. Laut Mozilla sind beide Lücken nicht durch simple Mails nutzbar, weil Scripting in Thunderbrid standardmäßig abgeschaltet sei. Im Zusammenspiel mit einem Browser seien die Probleme aber gefährlich. Thunderbird steht auf Mozillas Webseite zum Download zur Verfügung.

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.