Der Email-Client Thunderbird aus dem Hause Mozilla weist drei Sicherheitslücken auf, von denen zwei als kritisch gelten, warnen die Entwickler des Mailclients. Auch das Notfall-Team des BSI CERT Bund stufte das Risiko dieser Schwachstellen in Thunderbird insgesamt als „sehr hoch“ ein.
Wenn Angreifer die beiden kritische Lücken (CVE-2017-7826, CVE-2017-7828) ausnutzen, sollen sie aus der Ferne ohne Authentifizierung Speicherfehler (z. B. use-after-free) hervorrufen und darüber Schadcode ausführen können.
Die dritte bekannte Schwachstelle (CVE-2017-7830) in Mozillas Donnervogel mit dem Bedrohungsgrad „hoch“ könnten böswillige Angreifer als Einstieg zum Diebstahl von Informationen aus dem System nutzen.
Diese Sicherheitslücken sollen es in allen Versionen von Thunderbird unter Linux, macOS und Windows geben. Nur die Version 52.5 ist diesbezüglich schon abgesichert. Weil das Scripting, also die Ausführung von Script-Code, in dem Mailclient aber standardmäßig deaktiviert ist, sollte sich ein Angriff bei den meisten Rechnern nicht wirklich über Emails einleiten lassen.
