Firefox & Thunderbird: neue Remote-Code-Execution Schwachstelle

Warnung vom BSI:

10.11.2020 – TW-T20-0194

Mozilla Firefox/Thunderbird: Schwachstelle ermöglicht Ausführen von beliebigem Programmcode mit Benutzerrechten

Firefox & Thunderbird: neue Remote-Code-Execution

Betroffen sind :

  • Mozilla Firefox < 82.0.3

  • Mozilla Firefox ESR < 78.4.1

  • Mozilla Thunderbird < 78.4.2

Bekannt wurde die Schwachstelle bei einem Hackingwettbewerb in China:

„CVE-2020-26950: Write side effects in MCallGetProperty opcode not accounted for

In certain circumstances, the MCallGetProperty opcode can be emitted with unmet assumptions resulting in an exploitable use-after-free condition.“

Also, Updaten, Updaten.

Thunderbird 78.3.1 Update mit kleinen Themebugs

Das Update von Thunderbird 78.3 ist nicht ganz so gut gelaufen, wie es sollte.

Thunderbird 78.3.1 Update mit kleinen Themebugs

Das gestern von Fedora präsentiere Update auf Thunderbird 78.3.1 hat leider kleine Bugs bei der Themeimplementierung:

Das bekommt man, wenn man die Themes umstellt von Default -> Dark -> Light -> Default  🙂

Als Folge sind Highlights dann weiße Schrift auf weißem Hintergrund, auch bekannt als die ostfriesische Nationalflagge.

Beheben läßt sich das zum Glück ganz einfach: Theme auswählen und Thunderbird neustarten.

Und auch beim Layout des „Neue Email schreiben“ Fensters gibt es kleine, wenn auch nicht sofort ersichtliche Fehlinterpretationen von „Das soll so sein“ :

Ich glaube nicht, daß es soooo geplant war 😉

Ganz klar, die alte Version mit An:, CC: und BCC: untereinander war IMHO besser, wird aber vermutlich ein ähnliches Verhalten gehabt haben. Der Fehler, wenn man so will, ist hier eigentlich, daß man es überhaupt soweit aufziehen kann, obwohl die UI Elemente das gar nicht nötig haben. Da fehlt so etwas wie ein max-height: im CSS 😉

Was man in den Bildern jetzt nur ganz schlecht zu erkennen ist, daß sich auch der Default Icon Satz geändert hat. Er entspricht jetzt einem HIGH-Contrast Iconsatz für sehbehinderte Menschen. Das ist nicht nur mir ausgefallen. Auch dies wurde Thunderbird als Bug gemeldet, denn im System ist „Gnome“ als Iconsatz eingestellt und da hat sich TB bislang auch dran gehalten.

Der neue Iconsatz ist zu dem etwas größer bei den Element-Abständen eingestellt, was zwar auf einem Tablet besser sein wird, aber leider bei einem 20 Konten. mit jeweils 40 Unterordnern, Thunderbird nur eine unnötige Platzverschwendung darstellt.

Die Thunderbird-Telemetriedaten

Nicht ganz so erfreulich, aber zum Glück abwählbar, ist die Zwangsaktivierung der Telemetriedaten.

Diverse Nutzer, meine Wenigkeit inklusive, konnten nachweisen, daß die Übermittlung der Telemetriedaten an Thunderbird vor dem Update ausgeschaltet war und automatisch aktiviert wurde. Ihr solltet das also genau prüfen, wenn Ihr jetzt 78.3.1 oder schon 74.x bekommen habt.

Hier könnt Ihr das abschalten:

Wie man sehen kann, war das die Schwarz-Weiße-Phase nach dem Themewechseltest 😀

Die Thunderbird Devs sind dran, auch wenn Sie wenig begeistert waren, daß mehrere Fehler in einem Bugreport gemeldet wurden. Das bringt mich auch gleich zum Abschluß, denn ..

Eine Sache muß ich noch gerade ziehen

Ich hatte heute morgen einen Datenschutzverstoß von Thunderbird gemeldet. Dieser konnte gegen 21 Uhr zu meiner Zufriedenheit von den Thunderbird Devs aufgeklärt werden und ist damit erledigt. Die Datenschutzbeschwerde beim LFD und BFD bereits durch mich zurückgezogen und als erledigt erklärt worden.

Damit Ihr diese Nachricht auch findet, wenn Ihr der alten Artikelurl folgt, wurde dieser Artikel als Ersatz eingestellt. Das ist also der Grund wieso Ihr etwas anderes gesehen habt, als Ihr vielleicht erwartet habt.

 

Schwachstelle in Thunderbird < 68.7

Es ist eigentlich schon gute Tradition, daß Thunderbird zwei-drei Tage nach Firefox aktualisiert werden muß. Ratet mal, es ist mal wieder soweit 🙂

Schwachstelle in Thunderbird < 68.7

Wer jetzt Updaten möchte, hier ist das FC30 Paket:

https://kojipkgs.fedoraproject.org//packages/thunderbird/68.7.0/1.fc30/x86_64/thunderbird-68.7.0-1.fc30.x86_64.rpm

Es handelt sich (natürlich) um die gleichen Lücken im Javascript, die auch im Firefox < 75.0 drin waren.