Dem vor zwei Wochen veröffentlichten Mozilla-Browser Firefox folgt nun der Mail Client. Thunderbird 2.0.0.14 schließt zwei Schlupflöcher für Remote-Angreifer.
Die beiden Sicherheitslücken standen im Zusammenhang mit der JavaScript-Implementierung. Die davon ausgehende Gefahr bestand jedoch laut Aussage der Entwickler nur bei benutzerdefinierten Einstellungen, per Default seien die entsprechenden Funktionen deaktiviert.
Der erste Fehler wird in der Übersicht der Sicherheitslücken als MFSA 2008-15 geführt. Er tritt in der Browser Engine auf und kann unter bestimmten Voraussetzungen Speicherbereiche beschädigen. Dadurch stürze der Mailclient eventuell ab und ein Angreifer hätte Schadcode ausführen können.
Die zweite Lücke trägt die Fehlernummer MFSA 2008-14. Im dazugehörigen Bericht beschreiben mehrere Entwickler die Möglichkeit eines potentiellen Angriffs, um mit speziell vorbereitetem JavaScript-Code an erweiterte Nutzerrechte zu gelangen. Der Fehler hätte auch zur Ausführung beliebigen Codes genutzt werden können.
Die Entwickler raten Anwendern den Mail-Client zu aktualisieren. Installationspakete stehen auf den Seiten der Mozilla-Foundation zum Download bereit. Pakete der Distributoren dürften in den nächsten Tagen folgen.
