Ontwikkelaar Mike Cardwell ontdekte een issue in Mozilla's e-mailclient Thunderbird dat hem geenszins beviel en in november 2011 meldde hij het probleem bij Mozilla. De bug werd meteen beoordeeld als 'gemiddeld', maar meer dan twee jaar later is het probleem nog steeds niet verholpen. Daarom publiceert Cardwell nu details over de kwetsbaarheid, die vooral probemen kan opleveren voor Tor-gebruikers omdat hun anonieme browser wordt omzeild.

Browserbeveilging omzeild

Een e-mailtje kan zo worden geschreven dat een link in de Thunderbird-client niet in de standaarbrowser wordt geopend, bijvoorbeeld de Tor-browser. De link wordt dan geopend in een Thunderbird-tabblad, waardoor eventueel aanvullende beveiligingsmaatregelen worden omzeild.

Cardwell legt uit dat hij allerlei aanpassingen heeft gedaan aan Firefox, zoals HTTPS-Everywhere en NoScript, maar dat deze geen nut hebben wanneer de pagina wordt geopend binnen Thunderbird. Voor Tor-gebruikers is dit extra vervelend, omdat de anonieme browser niet wordt gebruikt bij eventueel gevoelige e-mailtjes. Daarom heeft Cardwell het probleem ook nog eens gemeld op de TorTalk-mailinglist.