Een beveiligingslek in de e-mailclient Thunderbird waardoor links in e-mailberichten niet door de externe webbrowser maar door Thunderbird zelf worden geopend wacht al meer dan twee jaar op een patch. De kwetsbaarheid werd door beveiligingsonderzoeker Mike Cardwell ontdekt en aan Mozilla gemeld.
Standaard opent Thunderbird links in e-mailberichten via de standaard browser op de computer. Cardwell ontdekte echter een manier waardoor Thunderbird links zelf in een tab opent in plaats van de browser. Volgens Cardwell is dit een risico omdat gebruikers hun browser vaak extra hebben beveiligd, bijvoorbeeld door het aanpassen van privacy- en beveiligingsinstellingen en het installeren van plug-ins. Ook kan de browser van bepaalde proxyconfiguraties of het Tor-netwerk gebruik maken.
Als de link in Thunderbird zelf wordt geopend worden al deze beveiligingsmaatregelen omzeild. Daarnaast is er nog een probleem als de externe website in een Thunderbird-tab wordt geopend, aangezien de gebruikersinterface van Thunderbird dan verdwijnt. Daardoor kan een gebruiker geen onderscheid maken tussen een tab met een deel van de Thunderbird-interface en een kwaadaardige website die een deel van de Thunderbird-interface probeert te spoofen.
Cardwell rapporteerde het probleem in november 2011, wat inmiddels 26 maanden geleden is. Mozilla bestempelde het als een 'moderate' beveiligingsprobleem, maar het lek is nog altijd niet gepatcht. Daarop besloot de onderzoeker zijn bevindingen openbaar te maken. Zelf gebruikt Cardwell inmiddels geen Thunderbird meer maar Evolution. Gebruikers van Thunderbird kunnen zich in afwachting van een update beschermen door berichten alleen in platte tekst weer te geven en de link vervolgens zelf in de browser te kopiëren.
Deze posting is gelocked. Reageren is niet meer mogelijk.