News 15.12.2009, 08:30 Uhr

Thunderbird-Lücke

Der Mozilla-Mailclient ist von einer hochkritischen Sicherheitslücke betroffen: Zahlreiche Add-Ons erlauben die Einspeisung von Code.
Die Schwachstelle tritt in der Thunderbird-Version 2.0.0.23 auf, wie aus einem Bericht von Security Reason hervorgeht. Frühere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. In den Varianten 3.0 und 2.0.0.24pre findet sich die Lücke hingegen nicht.
Die Schwachstelle entsteht durch einen Implementierungsfehler bei der C-Funktion DTOA. Zahlreiche Add-Ons für Thunderbird wie beispielsweise Lightning oder Thunderbrowse greifen auf DTOA zu. Erzeugt ein Angreifer mehr als 15 Fliesskommazahlen, entsteht in DTOA ein Pufferüberlauf, mit dessen Hilfe Angreifer beliebigen Schadcode in ein betroffenes System einspeisen können.
Je nach Add-On variiert die Methode des möglichen Angriffs: Bei Lightning genügt das Anfügen einer präparierten Visitenkarte, bei Thunderbrowse muss der Benutzer auf eine entsprechend manipulierte Webseite gelockt werden. Mit der Verfügbarkeit eines Updates auf Thunderbird 2.0.0.24 wird in den nächsten Tage gerechnet. Alternativ bietet sich Thunderbird 3.0 an.



Kommentare
Es sind keine Kommentare vorhanden.