BSI warnt: Thunderbird mit hochgefährlichen 7,8 Sicherheitslücken

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

Experten und Spezialisten haben in Thunderbird hochgefährliche Schwachstellen gefunden die nach CVSS mit dem Wert 7,8 als hochgefährlich gelten. Die Schwachstellen CVE-2023-34416 und CVE-2023-34414 beinhalten einen Speichersicherheitsfehler und erlauben Clickjacking. Ein Update auf die Version 102.12 beendet die Gefahr. 

Der beliebte E-Mail-Client Thunderbird hat zwei Schwachstellen die mit einem CVSS-Wert von 7,8 als hochgefährlich gelten. Auch das BSI hat die Sicherheitsinformation unter Nummer WID-SEC-2023-1414 mitgeteilt. Die Fehler sind einfach zu beheben. Es reicht ein Update auf die Thunderbird-Version 102.12 aus. Allerdings haben viele Nutzer und Unternehmen beim Thunderbird die Standardeinstellung nicht verändert. Dort steht das Update auf “Nach Updates suchen, aber vor der Installation nachfragen”. Oft wird der Hinweis auf das Update aber verschoben. Updates sollten automatisch installiert werden (Bei Extras/ Einstellungen/ Updates).

Anzeige

Clickjacking und Speichersicherheitsfehler

Die Fehlerbeschreibung von Thunderbird:

CVE-2023-34414: Clickjacking-Zertifikatausnahmen durch Renderverzögerung
Auf der Fehlerseite für Websites mit ungültigen TLS-Zertifikaten fehlte die Aktivierungsverzögerung, die Thunderbird verwendet, um Eingabeaufforderungen und Berechtigungsdialoge vor Angriffen zu schützen, die Verzögerungen bei der menschlichen Reaktionszeit ausnutzen. Wenn eine bösartige Seite den Benutzer unmittelbar vor dem Navigieren zu einer Website mit einem Zertifikatfehler zu Klicks an bestimmten Stellen auslöste und gleichzeitig den Renderer stark belastete, konnte zwischen dem Laden der Fehlerseite und dem tatsächlichen Aktualisieren der Anzeige eine Lücke entstehen. Mit dem richtigen Timing könnten die ausgelösten Klicks in dieser Lücke landen und die Schaltfläche aktivieren, die den Zertifikatsfehler für diese Site überschreibt.

Anzeige

CVE-2023-34416: Speichersicherheitsfehler
Die Mozilla-Entwickler und Community-Mitglieder Gabriele Svelto, Andrew McCreight, das Mozilla Fuzzing Team, Sean Feng und Sebastian Hengst haben über Speichersicherheitsfehler in Thunderbird 102.11 berichtet. Einige dieser Fehler zeigten Anzeichen einer Speicherbeschädigung und wir gehen davon aus, dass einige davon mit genügend Aufwand hätten ausgenutzt werden können, um beliebigen Code auszuführen.

Mehr bei Mozilla.org

 

Passende Artikel zum Thema

Jailbreaking KI-basierter Chatbots

Das Cybersicherheitsunternehmen, das hinter der Enttarnung von WormGPT steht, hat einen Blogpost veröffentlicht. Dieser gibt Aufschluss über Strategien von Cyberkriminellen, ➡ Weiterlesen

Kerberoasting-Angriffe per Brute-Force-Verfahren

Im Kern ist Kerberos ein Protokoll, das eine sichere Authentifizierung sowohl für Benutzer als auch für Geräte innerhalb einer Netzwerkumgebung ➡ Weiterlesen

Endlich: Passwörter sterben aus

Gestohlene Passwörter sind eines der Hauptrisiken, weshalb Passwörter mehr und mehr in den Hintergrund rücken. Zusätzliche Authentifizierungsmethoden und Sicherheitskontrollen, die ➡ Weiterlesen

China: Unternehmen müssen Schwachstellen melden – Hacker warten bereits

Unternehmen - auch ausländische - sind in China laut Gesetz verpflichtet Schwachstellen in Systemen und Fehler in Codes umgehend an ➡ Weiterlesen

Neue Gefahr: Hacken von Elektrofahrzeugen

Immer mehr Menschen entscheiden sich für Elektroautos, sei es aus Innovationsgründen, sei es aus Umweltgründen. Doch die ökologischen und technologischen ➡ Weiterlesen

Cyberkriminalität kostet Deutschland 206 Milliarden Euro

Cyberkriminalität wie der Diebstahl von IT-Geräten und Daten sowie digitale Spionage, Wirtschaftsspionage und Sabotage werden Deutschland im Jahr 2023 rund ➡ Weiterlesen

Künstliche Intelligenz in der IT

Das Jahr 2023 könnte als das Jahr der Künstlichen Intelligenz (KI) in die Geschichte eingehen – oder zumindest als das ➡ Weiterlesen

KI als Gefahr und Chance für die IT-Sicherheit

Die IT-Sicherheit ist einer der Bereiche, die gerade durch KI verändert werden. Einerseits hilft KI den Kriminellen dabei, Angriffe effizienter, ➡ Weiterlesen