Mehrere Sicherheitslücken im Matrix-Chat-SDK machen Mozillas Mail-Client Thunderbird verwundbar. Eine aktualisierte Version schafft jetzt Abhilfe.
Wer unter dem Thunderbird das Matrix-Chat-Protokoll verwendet, sollten den Mail-Client aus Sicherheitsgründen jetzt auf den aktuellen Stand bringen. Ansonsten könnten Angreifer unter anderem auch Absender fälschen und sich als jemand anderes ausgeben.
Angriffe mit unterschiedlichen Auswirkungen
Aus einer entsprechenden Warnmeldung geht hervor, dass Mozilla dieses Risiko von den insgesamt vier geschlossenen Lücken als „hoch“ bewertet.
Wenn ein Angreifer erfolgreich an einer Lücke (CVE-2022-39249) ansetzt, könnte er eine verschlüsselte Nachricht im Namen anderer verschicken. Das klappt allerdings nur dann, wenn der Angreifer auch Server-Admin ist.
Mit diesen Rechten könnte er auch die Verifikation von Geräten austricksen (CVE-2022-39250) und wäre sogar in der Lage, schon versendete Nachrichten zu fälschen (CVE-2022-39251) oder Daten zu zerstören (CVE-2022-39236). Alle diese Probleme sind in dem Update Thunderbird Version 102.3.1 jetzt beseitigt worden.
Die Sicherheitslücken im Matrix-Chat-SDK sind den Entwicklern bekannt und wurden inzwischen auch schon geschlossen.