Mozilla heeft een kwetsbaarheid in e-mailclient Thunderbird verholpen die ontstond bij het uitlezen van SMTP-serverstatuscodes. SMTP-servers versturen deze statuscodes na een request van de e-mailclient. Thunderbird bleek statuscodes van SMTP-servers niet goed te verwerken.
Dit werd veroorzaakt doordat de e-mailclient een integerwaarde naar een plek in het geheugen schreef die slechts één byte zou moeten bevatten. Afhankelijk van de processorarchitectuur en 'stack layout' kon er een stack overflow ontstaan waar een aanvaller mogelijk misbruik van zou kunnen maken. Mozilla heeft de kwetsbaarheid, CVE-2020-26970, als 'high' bestempeld. Het beveiligingslek is verholpen in Thunderbird 78.5.1. Updaten naar de nieuwe versie kan via de automatische updatefunctie en Thunderbird.net.
Deze posting is gelocked. Reageren is niet meer mogelijk.