Aktuelles aus der Computerwelt
AbonnentenAbonnenten: 0
LesezeichenLesezeichen: 0
Zugriffe: 222

Thunderbird-Lücke

Beitrag#1von Admin tups » Mi 16. Dez 2009, 10:20

Der Mozilla-Mailclient ist von einer hochkritischen Sicherheitslücke betroffen: Zahlreiche Add-Ons erlauben die Einspeisung von Code.

Die Schwachstelle tritt in der Thunderbird-Version 2.0.0.23 auf, wie aus einem Bericht von Security Reason hervorgeht. Frühere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. In den Varianten 3.0 und 2.0.0.24pre findet sich die Lücke hingegen nicht.

Die Schwachstelle entsteht durch einen Implementierungsfehler bei der C-Funktion DTOA. Zahlreiche Add-Ons für Thunderbird wie beispielsweise Lightning oder Thunderbrowse greifen auf DTOA zu. Erzeugt ein Angreifer mehr als 15 Fliesskommazahlen, entsteht in DTOA ein Pufferüberlauf, mit dessen Hilfe Angreifer beliebigen Schadcode in ein betroffenes System einspeisen können.

Je nach Add-On variiert die Methode des möglichen Angriffs: Bei Lightning genügt das Anfügen einer präparierten Visitenkarte, bei Thunderbrowse muss der Benutzer auf eine entsprechend manipulierte Webseite gelockt werden. Mit der Verfügbarkeit eines Updates auf Thunderbird 2.0.0.24 wird in den nächsten Tage gerechnet. Alternativ bietet sich Thunderbird 3.0 an.
Finde weitere Details und Artikel im Profil des Benutzers

Klicke auf das Icon, um es im Vollbildmodus zu sehen  
1 St.
Admin tups
Benutzeravatar
Administrator
Administrator


Beiträge: 1594
Registriert: 06.2009
Barvermögen: 15.121,91 Leckerlies
Bank: 123.886,74 Leckerlies
Danke gegeben: 28
Danke bekommen: 3x in 3 Posts
Highscores: 718
Geschlecht: männlich
Sternzeichen: .
Bundesland: Nordrhein-Westfalen
Mein Haustier: .





cron