Thunderbird kan de inhoud van met OpenPGP versleutelde e-mail lekken als er gebruik wordt gemaakt van remote content. Er is een beveiligingsupdate uitgebracht om het probleem te verhelpen. Details over de kwetsbaarheid, aangeduid als CVE-2024-11159, zijn niet openbaar. De informatie is alleen toegankelijk op het bugplatform van Mozilla voor accounts met voldoende rechten.
De impact van de kwetsbaarheid wordt door Mozilla omschreven als 'High'. Ruim zes jaar geleden kreeg de e-mailclient met een soortgelijk beveiligingslek te maken. "Using remote content in encrypted messages can lead to the disclosure of plaintext", aldus de beschrijving van CVE-2018-5184. In plaats van 'encrypted' gebruikt CVE-2024-11159 de tekst 'OpenPGP encrypted', maar heeft verder een identieke beschrijving. Gebruikers worden opgeroepen om te updaten naar Thunderbird 128.4.3 waarin het probleem is verholpen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.