Vorsicht! Das sollte nicht passieren
Auch Open Source Software ist nicht automatisch fehlerfrei. Aber ihr Code kann von Tausenden von Entwicklern geprüft werden und nun fiel auf, dass die Thunderbird Versionen Thunderbird 139.0.2 und Thunderbird 128.11.1 die Gefahr bergen, dass in HTML Mails verpackte Downloads automatisch und unaufgefordert zum Herunterladen von PDF-Dateien mißbraucht werden können.
Diese Downloads müssen dann nicht vom Empfänger bestätigt werden und können im besten Fall die Festplatte vollmüllen aber auch bösartige Software auf das System bringen. Das taten sie in den beiden genannten Versionen auch dann, wenn Auto-Speichern überhaupt nicht aktiviert ist.
Während für Linux Systeme vor allem das "Vollmüllen" als Problem genannt wird, kann in Windows Rechnern sogar durch spezielle SMB-Links die Anzeige der Mail im HTML-Modus Windows-Zugangsdaten kompromittieren. SMB (Server Message Block) ist ein Netzwerkdateifreigabeprotokoll von Windows. Auch wenn die Schwachstelle CVE-2025-5986 mit einem CVSS-Wert von 6.5 nur eine Risikoeinstufung "mittel" erhalten hat, haben sie die Mozilla-Entwickler mit dem Risiko "hoch" bewertet.
Alle Thunderbird Versionen über 128.11.1, bzw. 139.0.2 sind bereits wieder gut geschützt.
Mehr dazu bei https://www.heise.de/news/Thunderbird-HTML-Mails-koennen-Zugangsdaten-verraten-Update-verfuegbar-10441439.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3HB
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/9184-20250613-schwachstelle-in-thunderbird-mail.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/9184-20250613-schwachstelle-in-thunderbird-mail.htm
Tags: #HTMLMail #Schwachstelle #Risiko #OpenSource #Windows #Microsoft #SMB #ServerMessageBlock #Thunderbird #Transparenz #Linux #Arbeitnehmerdatenschutz #Verbraucherdatenschutz #Verschlüsselung #Verhaltensänderung
Erstellt: 2025-06-13 07:37:09 Aufrufe: 106
Kommentar abgeben
