Im E-Mail-Client Thunderbird klaffen drei Sicherheitslücken. Davon gelten zwei als kritisch, warnen die Entwickler. Das Notfallteam des BSI CERT Bund stuft das Risiko insgesamt als "sehr hoch" ein.

Die Lücken sollen sich in allen Thunderbird-Versionen unter Linux, macOS und Windows finden. Die Ausgabe 52.5 ist abgesichert. Da das Scripting im Mailclient standardmäßig deaktiviert ist, soll sich ein Angriff nicht über Mails einleiten lassen.

Setzen Angreifer an den beiden kritische Lücken (CVE-2017-7826, CVE-2017-7828) an, sollen sie aus der Ferne ohne Authentifizierung Speicherfehler – unter anderem use-after-free – provozieren und so Schadcode ausführen können.

Die dritte Schwachstelle (CVE-2017-7830) mit dem Bedrohungsgrad "hoch" könnten Angreifer als Einstiegspunkt zum Abziehen von Informationen ausnutzen. (des)