Er is een nieuwe versie van de populaire e-mailclient Thunderbird verschenen waarin vier kwetsbaarheden zijn verholpen, waaronder een beveiligingslek waardoor het spoofen van handtekeningen mogelijk was. Een fout tijdens de verificatie van sommige S/MIME-handtekeningen zorgde ervoor dat Thunderbird liet zien dat e-mails over een geldige digitale handtekening beschikten, ook al was de inhoud van de e-mail niet gedekt door de handtekening.
Door deze kwetsbaarheid had een aanvaller een geldige S/MIME-handtekening kunnen hergebruiken om een e-mailbericht met willekeurige content op te stellen, aldus Mozilla. Het beveiligingslek was ontdekt door onderzoeker Damian Poddebniak, die ook betrokken was bij de EFAIL-aanval. Via de EFAIL-aanval was het in bepaalde gevallen mogelijk voor een aanvaller om de inhoud van een versleutelde e-mail te achterhalen.
De overige drie kwetsbaarheden in Thunderbird werden eerder door Mozilla in Firefox gepatcht. Firefox en Thunderbird delen een deel van de code. Via de beveiligingslekken was het in Firefox mogelijk geweest om een potentieel te misbruiken crash te veroorzaken. Gebruikers van Thunderbird zouden geen risico hebben gelopen, omdat deze beveiligingslekken in het algemeen niet via e-mail zijn te misbruiken. Bij het lezen van e-mails in Thunderbird staat scripting namelijk standaard uitgeschakeld. Updaten naar Thunderbird 60.5.1 kan via de automatische updatefunctie.
Deze posting is gelocked. Reageren is niet meer mogelijk.