Thunderbird 52.8 schließt Efail-Sicherheitslücken – aber leider nur halb.
Das Update sollte unbedingt installiert werden, jedoch schließt es nicht alle kritischen Lücken. Einige Efail-Schwachstellen bleiben offen.
Geschlossen wurden ein kritisches Speicherleck in der Skia-Bibliothek sowie mehrere Lücken mit den CVE-Einstufungen „hoch“ und „mittel“ und eine Lücke fürs Auslesen verschlüsselter Nachrichten im Kontext von S/MIME, die die Einstufung „hoch“ trug.
Das Efail Problem bleibt aber weiterhin bestehen. Ein Angreifer mit der Fähigkeit zur Manipulation verschlüsselter Mails kann der Nachricht Elemente hinzufügen.
Über diese lässt sich der vom E-Mail-Programm des Empfängers entschlüsselte, eigentlich geheime Teil der Nachricht an den Angreifer übermitteln.
Jetzt heißt es: Warten auf die Version 52.8.1.
Noch ist nicht bekannt, wann diese erscheinen wird.