Thema: Thunderbird ...

[SiLæncer]

Nutzer des E-Mail-Clients Mozilla Thunderbird können möglicherweise demnächst von einer neuen Funktion profitieren, durch die sie darauf hingewiesen werden, dass ein in einer E-Mail angeklickter Link auf eine Phishing-Site führt. Die Entwickler arbeiten laut eines Beitrags in Mozillazine an einer Modifikation der Software, die in einer der kommenden Versionen zum Tragen kommen könnte. Seit Dezember 2004 ist Thunderbird in der Version 1.0 verfügbar.

Falls ein Thunderbird-Nutzer einen verdächtigen Link anklickt, würde er dann mit einem Hinweisfenster darauf hingewiesen. Einen Verdacht auslösen könnte beispielsweise eine URL, der ein abweichender Hinweistext hinterlegt ist, oder eine URL, die aus einer IP-Adresse besteht. Wann eine neue Version mit dieser Funktion verfügbar ist, steht noch nicht fest.

Es gibt allerdings bereits Bedenken, dass sich Nutzer zu sehr auf die Anti-Phishing-Funktion verlassen könnten, und Seiten, vor denen Thunderbird dann nicht warnen würde, unbedacht besuchen. Eine weitere diskutierte Möglichkeit des Schutzes vor Phishing wäre die voreingestellte Anzeige von E-Mails als Plaintext, auch damit sich betrügerische Links nicht hinter Bildern verstecken können.

Die Zahl der Phishing-Mails mit dem Ziel, Internet-Nutzern auf gefälschten Websites heikle persönliche Daten zu entlocken, ist in der vergangenen Zeit stark angestiegen. Der Sicherheitsdienstleister Messagelabs zählte im September 2004 mehr als zwei Millionen. Dabei werden die angewandten Tricks immer raffinierter. So werden beispielsweise E-Mails mit Scripting Code verschickt, der die Hosts-Datei von Windows-Rechnern manipuliert

Quelle und Links : http://www.heise.de/newsticker/meldung/55476

[SiLæncer]

Auch Thunderbird weist die gestern in Firefox bekannt gewordene Schwachstelle auf, durch die beim Programmaufruf mit URLs als Parameter Shell-Befehle ausgeführt werden. Dies könnte über mailto:-Links in Web-Seiten ausgenutzt werden, wenn Thunderbird als Standard-Mailprogramm im Browser eingerichtet ist.

Der Aufruf von Thunderbird über die Kommandozeile mozilla-thunderbird -compose 'mailto:test@da.de`id`' bringt den Befehl id zur Ausführung, in die Ziel-Adresse wird die Ausgabe des Programmes eingebaut. Der Fehler liegt abermals in dem Skript, das beim Programmaufruf ausgeführt wird. Hier wird die Eingabe nicht ausreichend überprüft.

Derzeit ist kein Workaround bekannt. Es ist auch nicht klar, wann eine neue Thunderbird-Version veröffentlicht wird, um den Fehler zu beheben. Im Bugzilla-Eintrag zur Firefox-Lücke wird Thunderbird bisher noch gar nicht erwähnt.

Siehe dazu auch:

    * Security Advisory von Secunia
    * Bugzilla-Eintrag zur Lücke in Firefox

Quelle und Links : http://www.heise.de/newsticker/meldung/64185

[SiLæncer]

Nicht selten leidet aus Gründen der Fehlertoleranz die Sicherheit von Software. Einen ähnlichen Fall schildert ein Posting auf der Sicherheitsmailing-Liste Bugtraq für den E-Mail-Client Thunderbird 1.0.7 und 1.5 Beta 2 für Windows XP. Zur verschlüsselten Übertragung des Login-Passwortes bei SMTP-Auth nutzt Thunderbird das Challenge-Response-Verfahren CRAM-MD5. Alternativ lässt sich per SSL/TLS auch die ganze Verbindung schützen.

Dem Posting zufolge soll ein Angreifer durch eine Man-in-the-Middle-Attacke aber in der Lage sein, einen CRAM-MD5- und TLS-Datenaustausch von Thunderbird bei Beginn derart zu stören, dass der Client auf eine ungesicherte Authentifizierungsmethode zurückschaltet. Da der Client den Anwender darüber nicht informiert, kann dieser auch nicht eingreifen, um die wiederholte, diesmal aber unverschlüsselte Übertragung des Passwortes zu verhindern. Der Angreifer kann so die Login-Information im Klartext mitlesen. Konkret beschreibt der Autor des Postings fünf Angriffsszenarien, wie ein Angreifer die Kommunikation zwischen Client und Server stören muss, um den Fallback zu provozieren.

Das Problem ist den Entwicklern seit längerem bekannt, allerdings versteht man die Vorgehensweise des Thunderbird eher als Feature denn als Bug. Insbesondere bei störrischen und fehlerhaft konfigurierten SMTP-Servern, die zwar eine Authentifizierung per CRAM-MD5 anfordern, dann aber ignorieren, sei dies die einzige Möglichkeit, sich anzumelden.

In diesem Sinne fordert der Autor des Bugtraq-Postings Thomas Henlich auch keinen Patch, um das Problem zu beseitigen. Vielmehr wünscht er sich in seinem dazugehörigen Bugzilla-Eintraga eine Option, um auf Wunsch eine Authentifizierung über das unsichere LOGIN und PLAIN für Nicht-SSL/TLS-Verbindungen komplett zu deaktivieren. Zudem ist aus seiner Sicht eine Option nötig, die eine TLS-Verbindung zwingend erfordert (enforce TLS), andernfalls wird die Verbindung einfach beendet.

Ein ähnliches Problem in Produkten der Mozilla-Foundation gab es bereits beim Zugriff auf IMAP-Konten vor zwei Jahren. Damals führte man eine zusätzliche Option ein, die im Fehlerfall den Fallback auf unsichere Methoden verhinderte und zusätzlich mit einer Warnung den Anwender informierte.

Siehe dazu auch:

    * Mozilla Thunderbird SMTP down-negotiation weakness von Thomas Henlich

Quelle und Links : http://www.heise.de/security/news/meldung/65417

[SiLæncer]

Das Mozilla Mail-Programm lässt Benutzer über die wahre Natur bestimmter Anhänge im Unklaren.

Benutzer des Mail-Programms Thunderbird können mit speziell präparierten Mails dazu gebracht werden, schädliche Anhänge zu öffnen, weil Thunderbird ihre wahre Natur nicht richtig darstellt. Betroffen sind Versionen bis Thunderbird 1.0.7, in der aktuellen Version 1.5 ist der Fehler behoben.

Bei Mails, in denen der Dateityp eines Anhangs falsch angegeben ist und sehr lange Dateinamen mit vielen Leerzeichen verwendet werden, kann es vorkommen, dass Thunderbird die Art des Anhangs nicht korrekt anzeigt. Benutzer könnten dadurch verleitet werden, einen schädlichen Anhang zu öffnen, weil sie ihn zum Beispiel für eine harmlose Textdatei halten, als die er laut Dateityp ausgegeben wird.

Die erfolgreiche Ausnutzung des Fehlers setzt allerdings voraus, dass der Mail-Empfänger den Anhang nicht direkt aus Thunderbird öffnet sondern zunächst durch Ziehen auf den Desktop speichert und dann von dort öffnet. Das direkte Öffnen des Anhangs in Thunderbird ist jedoch möglich, obwohl Thunderbird dies bei einer EXE-Datei nicht anbieten sollte. Allerdings würde Thunderbird den Anhang mit der Anwendung öffnen, die für den angegebenen Dateityp vorgesehen ist, also etwa mit dem Windows-Editor Notepad, falls der Dateityp "Text" angegeben ist.

Der Fehler ist den Mozilla-Entwicklern laut Secunia bereits seit Juli 2005 bekannt und wurde auch im Quelltext bereits ein paar Wochen später beseitigt. Eine fehlerbereinigte Version für die Allgemeinheit gibt es jedoch erst mit dem am 12. Januar dieses Jahres bereit gestellten Thunderbird 1.5 .

Quelle : www.pcwelt.de

[SiLæncer]

Thunderbird führt Javascript aus - auch wenn Javascript abgeschaltet ist.

Thunderbird, das Mail-Programm von Mozilla und somit die naheliegende Ergänzung zu Firefox, enthält einen sicherheitskritischen Fehler bei der Behandlung von Javascript in Mails. Standardmäßig ist Javascript in Thunderbird deaktiviert. Trotzdem kann es unter Umständen Javascript ausführen, meldet das Sicherheitsportal Security Focus .

Die bewussten Umstände sind gegeben, wenn ein Angreifer eine präparierte HTML-Mail mit einer Iframe-Konstruktion sendet, die Javascript-Anweisungen enthält. Beim Öffnen dieser Mail passiert noch nichts. Antwortet der Empfänger jedoch auf die Mail, wird der enthaltene Script-Code ausgeführt. Das kann zum Absturz des Programms und zur Ausführung weiteren, schädlichen Codes führen.

Nach Angaben von Renaud Lifchitz, der diese Anfälligkeit entdeckt und veröffentlicht hat, ist die aktuelle Version 1.5 von Thunderbird nicht betroffen. Anfällig sind demnach jedoch alle Versionen bis einschließlich Thunderbird 1.0.7. Sie sollten daher möglichst bald auf die Mitte Januar bereit gestellte Version 1.5 umsteigen. Zu deren Neuerungen zählen ein Phishing-Filter und die Möglichkeit, Mail-Anhänge zu löschen.

Quelle : www.pcwelt.de

[SiLæncer]

Neue Thunderbird-Version bringt ansonsten nur Fehlerkorrekturen

Es wurde bereits erwartet, ist vom Mozilla-Team aber immer noch nicht offiziell angekündigt worden: Das Sicherheits-Update für den E-Mail-Client Thunderbird findet sich auf den Mozilla-Seiten, nachdem bereits entsprechende Patches für Firefox und SeaMonkey erschienen sind. Die aktuelle Version schließt zwei Sicherheitslücken in Thunderbird.

Ein als schwerwiegend eingestuftes Sicherheitsloch steckt in den Network Security Services (NSS), die für die Funktionen rund um das SSLv2-Protokoll zum Einsatz kommen. Ein Angreifer kann darüber beliebigen Programmcode ausführen. Ein weiteres eher als harmlos eingestuftes Sicherheitsleck führt den E-Mail-Client zum Absturz. Beide Sicherheitslücken sollen mit dem Update geschlossen werden. Außerdem wurden einige Programmfehler korrigiert, womit der E-Mail-Client insgesamt zuverlässiger zu Werke geht.

Thunderbird 1.5.0.10 steht ab sofort kostenlos für Windows, Linux und MacOS X unter anderem in deutscher Sprache zum Download bereit.

http://www.mozilla.com/en-US/thunderbird/releases/1.5.0.10.html

Quelle : www.golem.de

[SiLæncer]

Die Entwickler der Mozilla-Foundation haben nun ihren Open-Source-Mailclient Thunderbird in Version 2.0.0.5 zum Download freigegeben. Wie bereits bei der Freigabe des Webbrowsers Firefox 2.0.0.5 angekündigt, korrigiert auch die neue Version des Mailclients zwei Sicherheitslücken, die in der neuen Firefox-Version geschlossen wurden. Die übrigen korrigierten Lecks im Webbrowser der Mozilla-Foundation betreffen den Mailclient nicht.

In Thunderbird 2.0.0.5 sind Bugs beseitigt, die zu Abstürzen führen können, über die Angreifer Schadcode einschleusen können. Außerdem konnte der Fehler im Zusammenspiel zwischen Internet Explorer und Firefox auch mit dem IE und Thunderbird auftreten. Die Liste der korrigierten Sicherheitslecks haben die Entwickler bereits für Thunderbird 2.0.0.5 aktualisiert; über die Sicherheitskorrekturen hinaus gibt es noch einige Bug-Fixes.

Thunderbird 2.0.0.5 steht in diversen Landessprachen-Versionen, darunter einer deutschsprachigen Ausgabe, auf der Webiste von mozilla.com zum Download bereit. Über die Update-Funktion der Software selbst wird die neue Version ebenfalls bereits angeboten.

http://www.mozilla.com/en-US/thunderbird/all.html

Quelle : www.heise.de

[Jürgen]

Die berüchtigte URI-Lücke (sponsored by IE7 @ B.G.), die zuletzt im Firefox beseitigt wurde, ist jetzt auch bei'm Thunderbird angegangen worden.

Fixed in Thunderbird 2.0.0.9
MFSA 2007-36 URIs with invalid %-encoding mishandled by Windows
MFSA 2007-29 Crashes with evidence of memory corruption (rv:1.8.1.

Auch bereits über die Update-Funktion verfügbar.

[SiLæncer]

Hier noch mal etwas ausführlicher ...


Es hat ein paar Tage gedauert, bis der Mailclient Thunderbird der Mozilla-Foundation auf den gleichen Versionsstand wie der Webbrowser Firefox gehoben wurde. Mit Version 2.0.0.9 des Open-Source-Mailclients bringen die Mozilla-Entwickler lediglich zwei Sicherheitskorrekturen, deren Wichtigkeit als "moderate" eingestuft werden.

Beide Fixes waren bereits im Webbrowser Firefox 2.0.0.8 eingeführt worden; die Firefox-Version 2.0.0.9 bringt lediglich einige kleinere Änderungen, um versehentlich wieder aufgetauchte Rendering-Bugs zu korrigieren. Um die Versionszählung von Firefox und Thunderbird auf dem gleichen Stand zu halten, überspringen die Mozilla-Entwickler die Version 2.0.0.8 bei dem Mailclient und vergeben gleich die Versionsnummer 2.0.0.9 für die Thunderbird-Ausgabe mit den neuen Sicherheitskorrekturen.

Ein Bugfix in Thunderbird 2.0.0.9 bringt einen weiteren Workaround, mit dem die URI-Handling-Sicherheitslücke in Windows umgangen werden soll. Microsoft selbst hat beim Patch-Day diese Woche einen Bugfix veröffentlicht, der das der das Sicherheitsleck beim Aufrufen von anderen Programmen grundsätzlich korrigieren soll. Ein zweiter Bugfix in Thunderbird 2.0.0.9 behebt nach Angaben der Entwickler Abstürze des Programms, über die möglicherweise Code eingeschleust werden kann – bei der Freigabe von Firefox 2.0.0.8 war dieser Fehler ncoh als "critical" eingestuft worden, mittlerweile schätzen die Entwickler seine Bedeutung nicht einmal mehr als "high" ein.

Eine Übersicht zu Thunderbird 2.0.0.9 bringen die Release-Notes, die Sicherheitsfixes listen die Mozilla-Entwickler auf der Seite mit Security-Advisories. Thunderbird 2.0.0.9 steht in diversen Landessprachen, darunter Deutsch, für Windows, Mac OX X und Linux zum Download bereit. Thunderbird-Anwender sollten über kurz oder lang mittels der automatischen Update-Funktion des Programms über die neue Version informiert werden.

Quelle und Links : http://www.heise.de/security/news/meldung/99008/Sicherheitsupdate-fuer-Mailclient-Thunderbird

[Jürgen]

Auch bereits über die Update-Funktion verfügbar.

Selbst geprüft. Und deshalb gleich gepostet.

Meldung vom 15.11.2007 09:38
-/-
Thunderbird-Anwender sollten über kurz oder lang mittels der automatischen Update-Funktion des Programms über die neue Version informiert werden.

Quelle und Links : http://www.heise.de/security/news/meldung/99008/Sicherheitsupdate-fuer-Mailclient-Thunderbird

Guten Morgen 

[SiLæncer]

Die Mozilla Foundation hat nun auch Thunderbird in einer Version vorgelegt, in der eine Schwachstelle in der Verarbeitung von SSL-Zertifikaten behoben ist. Durch das Einfügen von Nullzeichen in Zertifikaten denken einige Anwendungen, dass etwa das auf w+w.paypal.com\0.thoughtcrime.org ausgestellte Zertifikat zu w+w.paypal.com gehört.

Details zu den Lücken hatten Moxie Marlinspike und Dan Kaminsky auf ihren Black-Hat-Vorträgen enthüllt. In Firefox 3.5.x und 3.0.x sind die Lücken bereits seit mehr als zwei Wochen geschlossen. Andere Softwarehersteller arebiten unterdessen immer noch an Updates für ihre Produkte.

Siehe dazu auch:

    * Compromise of SSL-protected communication, Bericht der Mozilla Foundation

Quelle : www.heise.de

[SiLæncer]

Die bereits in Opera, Firefox und Chrome geschlossene Format-String-Schwachstelle aufgrund einer fehlerhaften Implementierung der C-Funktion dtoa zur Umwandlung von Gleitkommazahlen in Zeichenketten (double to ascii) zieht weitere Kreise. Maksymilian Arciemowicz, der Entdecker des Problems, hat nun mehrere Berichte veröffentlicht, wonach auch der Mail-Client Thunderbird 2.x sowie die Kalenderanwendung Sunbird 0.9 und die Browser Flock und Camino verwundbar sind beziehungsweise waren. In den aktuellen Versionen von Flock (2.5.5) und Camino (2.0.1) ist der Fehler nämlich bereits beseitigt

Durch die Schwachstelle kann ein Angreifer durch Angabe bestimmter Formatierungszeichen Arrays überschreiben und so eigenen Code einschleusen und starten. Die Lücke ist allgemein seit Juni dieses Jahres bekannt und wurde zumindest bei den Browsern als extrem kritisch eingestuft.

Der Fehler in Thunderbird soll in der kommenden Version 2.0.0.24 nicht mehr enthalten sein, bislang steht aber nur 2.0.024pre zum Download zur Verfügung. Die letzte Version von Thunderbird 2.x (2.0.0.23) erschien im August dieses Jahres. Warum die Mozilla Foundation so lange mit einer neue Version von Thunderbird 2.x wartet, ist unbekannt. Vermutlich hat die Entwicklung von Thunderbird 3 alle Ressourcen gebunden. In der neuen Version des E-Mail-Clients ist der Fehler nicht zu finden. Anwender sollten nach Möglichkeit auf diese Version wechseln.

Zudem sind laut Arciemowicz mehrere Add-ons für Thunderbird 2.x betroffen, darunter Lightning 0.9 und Thunderbrowse 3.2.6.7.

Quelle : www.heise.de

[SiLæncer]

Für die Thunderbird-2-Familie wurde ein Update auf die Version 2.0.0.24 veröffentlicht. Die aktuelle Version des E-Mail-Clients beseitigt Sicherheitslücken, neue Funktionen gibt es nicht. Seit Dezember 2009 gibt es bereits Thunderbird 3.

Welche Sicherheitslücken Thunderbird 2.0.0.24 beseitigt, ist noch nicht bekannt, die betreffende Webseite listet keine Details zur aktuellen Version. Gemäß den Release Notes bringt Thunderbird 2.0.0.24 keine neuen Funktionen, sondern schließt nur Sicherheitslücken.

Thunderbird 2.0.0.24 für Windows, Linux und Mac OS wird nur per ftp-Server als Download angeboten. Alternativ kann die neue Version auch über die Updatefunktion der Software installiert werden.

Quelle : www.golem.de

[SiLæncer]

Auf die Angaben zum Absender einer E-Mail kann man sich nicht verlassen; erst eine digitale Signatur bestätigt deren Echtheit. In Thunderbird soll ein Symbol mit einem Siegel signalisieren, dass man sich auf die Absenderangabe verlassen kann. Allerdings stellt sich Thunderbird im Umgang mit signierten E-Mails so ungeschickt an, dass man ganz einfach digital signierte Mails mit falschem Absender präsentieren kann.

Der ganze Artikel

Quelle : www.heise.de