Mozilla dicht spoofinglek in e-mailclient Thunderbird

[Captain Kirk]

Mozilla heeft een beveiligingsupdate uitgebracht die meerdere kwetsbaarheden in de e-mailclient Thunderbird verhelpt, waaronder een lek dat het mogelijk maakt om de afzender te spoofen. In Thunderbird 52.5.2 zijn in totaal vijf kwetsbaarheden gepatcht, waarvan er één als ernstig is aangemerkt.

Dit probleem bij het verwerken van WebGL-content treft alleen Thunderbird-gebruikers op Windows en zou het mogelijk maken voor een aanvaller om willekeurige code op het systeem uit te voeren. Daarnaast zijn er ook drie kwetsbaarheden verholpen met betrekking tot RSS-feeds. Een aanvaller zou via kwaadaardige RSS-feeds JavaScript of CSS binnen de mailbox kunnen uitvoeren en bijvoorbeeld informatie achterhalen, zoals een gebruikersnaam.

De vijfde kwetsbaarheid betreft een spoofinglek waardoor het voor een aanvaller mogelijk is om het e-mailadres van de afzender te spoofen en elk willekeurig e-mailadres op te geven. Door het gebruik van zogeheten "null characters" werd het echte e-mailadres van de afzender niet binnen Thunderbird weergegeven. Het spoofinglek, met de naam Mailsploit, werd eerder deze maand geopenbaard en bevindt zich in meerdere e-mailclients. Updaten naar de nieuwste Thunderbird-versie kan via de automatische updater en Mozilla.org.

 

 

bron: security.nl