Security-Problem in Thunderbird mit Windows 10 Cloud-Zwischenablage

Mozilla hat ein Update für den E-Mail-Client Thunderbird veröffentlicht, um mehrere schwerwiegende Schwachstellen zu beheben. Die neue Version 91.3 schließt unter anderem Sicherheitslücken, die die Ausführung von beliebigem Code auf dem PC ermöglichen können. Das berichtet das Online-Magazin Bleeping Computer. Mozilla hat dabei mit Thunderbird Version 91.3 zehn von verschiedenen Forschern entdeckte Schwachstellen behoben. Das Update wird daher dringend empfohlen. Ihr könnt die neue Version bereits im WinFuture Downloadcenter beziehen und so dafür sorgen, dass ihr euch nicht weiterhin der Gefahr der Umgehung der Sicherheitsfunktionen aussetzt.

Ausnutzung der Schwachstelle ist einfach

Um die meisten der neu entdeckten Schwachstellen auszunutzen, muss der Nutzer eine speziell gestaltete Website in einem Browsing-Kontext öffnen. Da die Ausnutzung für Cyberkriminelle leider relativ einfach sein soll, wurden die Sicherheitslücken als schwerwiegend eingestuft. Eines der Sicherheits-Probleme besteht dabei in Verbindung mit der Windows 10 Cloud-Zwischenablage. Es besteht dabei die Gefahr, dass unbefugte Dritte eine Aufzeichnung sensibler Daten aus der Windows 10 Cloud-Zwischenablage vornehmen.

Dadurch können sensible persönliche Nutzerdaten abgegriffen werden. Zudem besteht das Risiko der Offenlegung von Informationen.

Sicherheitslücken:

  • CVE-2021-38503: Umgehung von iframe-Beschränkungen, die die Ausführung von Skripten ermöglichen
  • CVE-2021-38504: User-after-free im Dateiauswahldialog, was zu einer Beschädigung des Speichers und einem potenziell ausnutzbaren Absturz führt
  • CVE-2021-38505: Aufzeichnung sensibler Daten in der Windows 10 Cloud-Zwischenablage, wodurch sensible Benutzerdaten in das Microsoft-Konto des Benutzers kopiert werden, was das Risiko der Offenlegung von Informationen erhöht.
  • CVE-2021-38506: Thunderbird wird gezwungen, ohne Benutzerinteraktion in den Vollbildmodus zu wechseln, wodurch die Grundlage für UI-Spoofing und Phishing-Angriffe geschaffen wird.
  • CVE-2021-38507: Umgehung der 'Same-Origin-Policy' durch Ausnutzung der Opportunistic Encryption-Funktion.
  • CVE-2021-38508: Möglichkeit, die Eingabeaufforderung für Berechtigungen zu überlagern, um den Benutzer zur Erteilung einer beliebigen Berechtigung zu verleiten.
  • CVE-2021-38509: Spoofing des JavaScript alert () Dialogs mit beliebigem Inhalt.
  • CVE-2021-38510: Umgehen des 'Download-Schutzes' bei .inetloc-Dateien, was Codeausführung unter macOS ermöglicht.
  • MOZ-2021-0008: Use-after-free im HTTP2-Session-Objekt, was zu Speicherbeschädigung und möglicherweise zu einem ausnutzbaren Absturz führt.
  • MOZ-2021-0007: Fehler in der Speicherbeschädigung, die zur Ausführung von beliebigem Code führen können.

Download Mozilla Thunderbird - Kostenloser E-Mail-Client E-Mail, Thunderbird, Mozilla Thunderbird, Thunderbird Logo E-Mail, Thunderbird, Mozilla Thunderbird, Thunderbird Logo
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 02:05 Uhr Active DisplayPort auf HDMI 4K Adapter,Wavlink DP-Stecker zu HDMI-Buchse, Aktiver Konverter (HDMI 2.0 bis 4K 3840x2160@60Hz)Active DisplayPort auf HDMI 4K Adapter,Wavlink DP-Stecker zu HDMI-Buchse, Aktiver Konverter (HDMI 2.0 bis 4K 3840x2160@60Hz)
Original Amazon-Preis
15,99
Im Preisvergleich ab
?
Blitzangebot-Preis
12,79
Ersparnis zu Amazon 20% oder 3,20

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Affiliate-Links, um WinFuture zu unterstützen: Vielen Dank!