Sinds de lancering van Thunderbird 38 heeft Mozilla de e-mailclient van de Lightning-extensie voorzien, maar de manier waarop de uitbreiding wordt geïmplementeerd is een beveiligingsrisico voor Windows-gebruikers. De Duitse softwareontwikkelaar Stefan Kanthak noemt het zelfs een 'beveiligingsnachtmerrie'.
Lightning voorziet Thunderbird van een agenda. De extensie wordt standaard geactiveerd, hoewel gebruikers Lightning wel kunnen uitschakelen. Mozilla installeert de extensie in de profielmap van gebruikers en niet in de ProgramFiles-directory. Daarmee schendt Mozilla de verplichte ontwikkelrichtlijnen voor Windows, zo stelt Kanthak. Ook introduceert het een beveiligingsrisico.
Applicaties in de ProgramFiles-directory kunnen alleen door gebruikers met voldoende rechten worden gewijzigd. Dat geldt niet voor bestanden in de AppData-directory. Het is echter in deze directory waarin het Thunderbird-profiel van gebruikers is opgeslagen en de Lightning-extensie zich bevindt. "Dit is een fundamentele kwetsbaarheid van Mozilla's extensies en een beveiligingsnachtmerrie", zo schrijft Kanthak op de Buggtraq-mailinglist.
Volgens de ontwikkelaar hoeven gebruikers vanwege veiligheidsredenen geen code uit hun gebruikersprofiel uit te voeren. Dat gaat niet op voor Lightning, dat wel hiervandaan wordt uitgevoerd. Een aanvaller die toegang tot het systeem heeft kan hierdoor de DLL-bestanden en JavaScript van de extensie vervangen. Kanthak adviseert Mozilla dan ook om lokale installaties van extensies in Mozilla-producten uit te schakelen en alleen globale installaties van extensies toe te staan.
Deze posting is gelocked. Reageren is niet meer mogelijk.