Vorsicht! Das sollte nicht passieren

Auch Open Source Software ist nicht automatisch fehlerfrei. Aber ihr Code kann von Tausenden von Entwicklern geprüft werden und nun fiel auf, dass die Thunderbird Versionen Thunderbird 139.0.2 und Thunderbird 128.11.1 die Gefahr bergen, dass in HTML Mails verpackte Downloads automatisch und unaufgefordert zum Herunterladen von PDF-Dateien mißbraucht werden können.

Diese Downloads müssen dann nicht vom Empfänger bestätigt werden und können im besten Fall die Festplatte vollmüllen aber auch bösartige Software auf das System bringen. Das taten sie in den beiden genannten Versionen auch dann, wenn Auto-Speichern überhaupt nicht aktiviert ist.

Während für Linux Systeme vor allem das "Vollmüllen" als Problem genannt wird, kann in Windows Rechnern sogar durch spezielle SMB-Links die Anzeige der Mail im HTML-Modus Windows-Zugangsdaten kompromittieren. SMB (Server Message Block) ist ein Netzwerkdateifreigabeprotokoll von Windows. Auch wenn die Schwachstelle CVE-2025-5986 mit einem CVSS-Wert von 6.5 nur eine Risikoeinstufung "mittel" erhalten hat, haben sie die Mozilla-Entwickler mit dem Risiko "hoch" bewertet.

Alle Thunderbird Versionen über 128.11.1, bzw. 139.0.2 sind bereits wieder gut geschützt.

Mehr dazu bei https://www.heise.de/news/Thunderbird-HTML-Mails-koennen-Zugangsdaten-verraten-Update-verfuegbar-10441439.html

Comment

If you like a crypted answer you may copy your public key into this field. (Optional) Public Key

To prevent the use of this form by spam robots, please enter the portrayed character set in the left picture below into the right field.

CC license   European Civil Liberties Network   Bundesfreiwilligendienst   We don't store your data   World Beyond War   Use Tor router   Use HTTPS   No Java   For Transparency