Thunderbird fixt zeven beveiligingsfouten

Thunderbird 2.0.0.22 lost allereerst een fout op die volgens de ontwikkelaars een grote impact heeft. Wanneer een gebruiker een multipart/alternative e-mail bekijkt met een text/enhanced onderdeel, dan kan Thunderbird crashen, met mogelijk een exploit tot gevolg.

Verder zijn er vier fouten opgelost die een gemiddelde impact hebben. Zo waren er twee fouten die JavaScript-code op een pagina met hogere privileges draait. Standaard is Thunderbird hiervoor niet kwetsbaar, tenzij de de gebruiker een add-on geïnstalleerd heeft en JavaScript in e-mails ingeschakeld heeft. Twee andere fouten maken ook misbruik van JavaScript en kunnen het e-mailprogramma doen crashen, wat mogelijk exploiteerbaar is.

De twee laatste fouten hebben volgens Mozilla een lage impact. Gebruikers die een proxy geconfigureerd hebben en JavaScript ingeschakeld hebben, kunnen het slachtoffer worden van kwaadaardige code bij een SSL-verbinding. Tot slot kan een Adobe Flash-bestand dat via het view-source-schema ingeladen wordt opgelegde beperkingen omzeilen. Maar dat werkt alleen als de gebruikers plugins heeft ingeschakeld in e-mails.

De Mozilla-ontwikkelaars raden gebruikers van Thunderbird sterk aan om naar versie 2.0.0.22 te upgraden. De release notes tonen een lijst met wijzigingen. Overigens is Thunderbird 1.5.0 niet meer ondersteund en bevat deze versie bekende beveiligingsfouten. Een algemene raad die de ontwikkelaars geven is om nooit JavaScript in Thunderbird in te schakelen.

Bron: Techworld

De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.