Die Sicherheitsfirma Secunia hat auf einige Lecks in der aktuellen Version 2.0.0.14 von Mozillas Thunderbird hingewiesen, die sie als "Highly critical", also sehr bedrohlich, einstuft. Demnach wäre über geschickte Ausnutzung von Problemen mit der Skriptsprache JavaScript ein Zugriff auf das jeweils verwendete Betriebssystem und ein Fernsteuern desselben möglich. Dies betrifft alle Systeme und alle Versionen von Thunderbird 2. Nutzern des Programms wird dringend empfohlen, die Verwendung von JavaScript einzuschränken bzw. Skripte komplett zu deaktivieren. Im Auslieferungszustand von Thunderbird ist dies ohnehin voreingestellt.
Die Lücke basiert auf denselben Problemen wie sie vor einigen Wochen im Firefox 2.0.0.14 aufgetreten sind. Dort gab es allerdings kurze Zeit später ein Update auf Version 2.0.0.15. Wann ein entsprechender Patch auch für den Thunderbird veröffentlicht wird, ist momentan noch unklar.
Um zu überprüfen, ob JavaScript bei Ihnen aktiviert ist, gehen Sie wie folgt vor:
- Wählen Sie im Menü "Extras" den Punkt "Einstellungen" und gehen in der oberen Leiste auf die Registerkarte "Erweitert". Dort klicken Sie unten rechts auf "Konfiguration bearbeiten".
- Sie gelangen zu den erweiterten Einstellungen von Thunderbird (about:config).
- Hier geben Sie in der mit "Filter" bezeichneten Zeile "javascript" ein. Entscheiden für die Ausführung von Skripten in Emails und Newsbeiträgen ist der Wert "javascript.allow.mailnews". Dieser sollte auf "false" geschaltet sein. Ist er das nicht, doppelklicken Sie einfach auf den Eintrag.
- Sollten Sie Javascript später wieder benötigen, ändern Sie den Wert einfach zurück auf "true".
Links zum Thema:
Secunia Sicherheitsbericht zu Thunderbird 2
Artikel: Erste Alpha von Thunderbird 3.0
