Thunderbird 24.3 neue Version verfügbar

Thunderbird

Seit gestern gibt es eine neue Version (24.3) von Thunderbird! Wir haben uns angesehen, welche Änderungen von der Mozilla Foundation vorgenommen wurden.

Neuerungen in Mozilla Thunderbird

Fehlerbehebungen:

Gefahrenstufe: kritisch
(Darunter versteht man, dass die Verletzbarkeit ausgenutzt werden kann um Angreifer-Code auszuführen oder Software zu installieren. Dabei wird keine Anwender-Interaktion, die über das normale browsen hinaus geht, benötigt.)

  • Während der Bildverarbeitung von Webseiten mit einem spezifischen Inhalt unter Verwendung der sogenannten „imgRequestProxy“-Funktion, kann es zu einem „use-after-free“-Fehler kommen. Dieser führt zu einem potentiell verwertbaren Absturz.
  • Durch die wiederholte Nutzung von verworfenen Bildern, kam es zu einem Problem bei der Bildentschlüsselung im sogenannten „RasterImage“. Dies konnte zu Schreibberechtigungen im unbenutzten Speicher und zu einem potentiell verwertbaren Absturz führen.
  • Mozilla Entwickler haben mehrere Speicher-Sicherheits-Fehler in der Browserengine, die in Firefox und anderen mozilla-basierenden Produkten verwendet wird, gefunden und behoben.
  • Einige dieser Fehler zeigten Beweise für Speicherkorruption unter bestimmten Umständen, und wir nehmen an, dass mit genügend Aufwand zumindest einige dieser Fehler dazu genutzt werden können, um einen beliebigen Softwarecode auszuführen.

Gefahrenstufe: hoch
(Darunter versteht man, dass die Verletzbarkeit ausgenutzt werden kann um sensible Daten von Seiten in anderen Fenstern zu erlangen oder um Daten und Software-Code in diese Seiten einzuspeisen. Dabei werden nicht mehr als normale Browser-Aktionen benötigt.)

  • Es gab eine Unbeständigkeit mit verschiedenen JavaScript-Engines. Diese konnten zu verschiedenen Verhalten im JavaScript-Code führen, unter Berücksichtung potentieller Sicherheitsprobleme bei der Fenstersteuerung durch die Umgehung einiger Sicherheitsüberprüfungen.
  • Ein Problem mit der Ticket-Verwaltung in der Network Security Service-Bibliothek wurde behoben.
  • Ein „cross-origin“-Informationsleck, hervorgerufen durch „web worker“-Fehlermeldungen wurde behoben. Dieses verletzt die „same-origin policy“ und die durchgesickerten Informationen konnten verwendet werden um „Authentifizierungstoken“ und andere Daten von Fremdwebseiten zu erlangen.
  • Ein Sicherheitslücke, bei der das System Only Wrappers umgangen werden konnte wurde geschlossen.

 

Download der Version 24.3  (21 MB)

Vorheriger Artikel Nächster Artikel

Kommentar zu “Thunderbird 24.3 neue Version verfügbar

  1. Hermann Weber

    Sehr geehrte Damen und Herren !

    Heute am 12.11.2014 hoffe ich eine Sichere E-Mail bei Thunderbird

    einerichtet zu haben.
    Freundliche Grüße

    Hermann Weber 1939

    Antwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.