Mozilla heeft de dertiende beveiligingsupdate voor Thunderbird 2 uitgebracht die een probleem met SSL-certificaten oplost. De kwetsbaarheid werd eerder al in Firefox gepatcht en zorgde ervoor dat aanvallers valse certificaten konden gebruiken om versleutelde communicatie tussen een client en server te onderscheppen of veranderen, bijvoorbeeld in het geval bij financiele transacties, aldus Mozilla.

Het probleem is dat aanvallers een SSL-certificaat met een null karakter kunnen aanvragen, bijvoorbeeld Paypal.com\0.nepsite.com. Niet alleen keurt de uitgevende Certificate Authority dit goed, de SSL-client negeert de karakters na het null karakter. Daardoor kunnen phishers SSL-certificaten voor legitieme websites aanvragen die niet van henzelf zijn. Het probleem werd door beveiligingsonderzoekers Dan Kaminsky en Moxie Marlinspike ontdekt. Updaten naar Thunderbird 2.0.0.23 kan via deze pagina.