Sicherheitsupdate: Thunderbird updaten und sicher konfigurieren

Gestern hat das DFN-Cert eine Meldung (DFN-CERT-2017-1476) zu Thunderbird veröffentlicht. Ich zitiere:

Mehrere Schwachstellen in Mozilla Thunderbird ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, die Darstellung falscher Informationen und verschiedener Denial-of-Service (DoS)-Angriffe.

Generell können diese Schwachstellen nicht über E-Mails in Thunderbird ausgenutzt werden, da ‚Scripting‘ beim Lesen von E-Mails deaktiviert ist. Es handelt sich aber um potentielle Risiken in Browsern oder Browser-ähnlichen Kontexten.

Das »entfernte Ausführen von beliebigen Programmcode« ist je nach Schwierigkeitsgrad schon fast Game Over. Eben je nachdem welche (Vor-) Bedingungen erfüllt sein müssen, um die Sicherheitslücke ausnutzen und auch wie gut das System abgesichert ist (Stichwort Sandboxing via Firejail).

Hier mal drei Tipps, die ihr in Thunderbird für eure eigene Sicherheit und Privatsphäre umsetzen solltet:

  • Deaktiviert die Darstellung von HTML E-Mails: View -> Message Body As -> Plain Text
  • Aktiviert die Darstellung von Punycode (nur relevant wenn der HTML-Viewer benutzt wird) über den Config Editor:
network.IDN_show_punycode = true
  • Deaktiviert JavaScript

Dazu ein Zitat aus Thunderbird 3 for developers:

Due to various security considerations. Javascript has been disabled completely in message content (the javascript.allow.mailnews preference no longer has any effect). Javascript is enabled for remote content including RSS feeds.

Für RSS-Feeds und anderen »Remote Content« ist JavaScript demnach aktiviert. Das muss nicht sein. Öffnet daher den Config Editor über »Edit -> Preferences -> Advanced -> Config Editor …« und stellt folgenden Wert ein:

javascript.enabled = false

Update: Wer noch weitere Einstellungen vornehmen möchte, der findet im Privacy-Handbuch weitere Ideen.

Der Kuketz-Blog ist spendenfinanziert! Mitmachen ➡