Security-Problem in Thunderbird mit Windows 10 Cloud-Zwischenablage

Mozilla hat ein Update für den E-Mail-Client Thunderbird veröffentlicht, um mehrere schwerwiegende Schwachstellen zu beheben. Die neue Version 91.3 schließt unter anderem Sicherheitslücken, die die Ausführung von beliebigem Code auf dem PC ermöglichen können. Das berichtet das Online-Magazin Bleeping Computer. Mozilla hat dabei mit Thunderbird Version 91.3 zehn von verschiedenen Forschern entdeckte Schwachstellen behoben. Das Update wird daher dringend empfohlen. Ihr könnt die neue Version bereits im WinFuture Downloadcenter beziehen und so dafür sorgen, dass ihr euch nicht weiterhin der Gefahr der Umgehung der Sicherheitsfunktionen aussetzt.

Ausnutzung der Schwachstelle ist einfach

Um die meisten der neu entdeckten Schwachstellen auszunutzen, muss der Nutzer eine speziell gestaltete Website in einem Browsing-Kontext öffnen. Da die Ausnutzung für Cyberkriminelle leider relativ einfach sein soll, wurden die Sicherheitslücken als schwerwiegend eingestuft. Eines der Sicherheits-Probleme besteht dabei in Verbindung mit der Windows 10 Cloud-Zwischenablage. Es besteht dabei die Gefahr, dass unbefugte Dritte eine Aufzeichnung sensibler Daten aus der Windows 10 Cloud-Zwischenablage vornehmen.

Dadurch können sensible persönliche Nutzerdaten abgegriffen werden. Zudem besteht das Risiko der Offenlegung von Informationen.

Sicherheitslücken:

CVE-2021-38503: Umgehung von iframe-Beschränkungen, die die Ausführung von Skripten ermöglichen
CVE-2021-38504: User-after-free im Dateiauswahldialog, was zu einer Beschädigung des Speichers und einem potenziell ausnutzbaren Absturz führt
CVE-2021-38505: Aufzeichnung sensibler Daten in der Windows 10 Cloud-Zwischenablage, wodurch sensible Benutzerdaten in das Microsoft-Konto des Benutzers kopiert werden, was das Risiko der Offenlegung von Informationen erhöht.
CVE-2021-38506: Thunderbird wird gezwungen, ohne Benutzerinteraktion in den Vollbildmodus zu wechseln, wodurch die Grundlage für UI-Spoofing und Phishing-Angriffe geschaffen wird.
CVE-2021-38507: Umgehung der 'Same-Origin-Policy' durch Ausnutzung der Opportunistic Encryption-Funktion.
CVE-2021-38508: Möglichkeit, die Eingabeaufforderung für Berechtigungen zu überlagern, um den Benutzer zur Erteilung einer beliebigen Berechtigung zu verleiten.
CVE-2021-38509: Spoofing des JavaScript alert () Dialogs mit beliebigem Inhalt.
CVE-2021-38510: Umgehen des 'Download-Schutzes' bei .inetloc-Dateien, was Codeausführung unter macOS ermöglicht.
MOZ-2021-0008: Use-after-free im HTTP2-Session-Objekt, was zu Speicherbeschädigung und möglicherweise zu einem ausnutzbaren Absturz führt.
MOZ-2021-0007: Fehler in der Speicherbeschädigung, die zur Ausführung von beliebigem Code führen können.

Download Mozilla Thunderbird - Kostenloser E-Mail-Client

E-Mail, Thunderbird, Mozilla Thunderbird, Thunderbird Logo

Diese Nachricht empfehlen

Kommentieren1

Weitere Nachrichten zum Thema Windows 10: Microsoft integriert Dunkelmodus in die SuchfunktionMozilla macht Ernst: Zwangsupgrade für Thunderbird-Nutzer kommtThunderbird wird jetzt in eigene kommerzielle Firma abgeschobenThunderbird steht nun als App über den Microsoft Store bereitMozillas Thunderbird bekommt in diesem Jahr richtig Schub