Mozilla heeft opnieuw een update voor de e-mailclient Thunderbird uitgebracht die gebruikers tegen de EFAIL-aanval moet beschermen, alsmede tegen aanvallen via SettingContent-ms-bestanden. Via de EFAIL-aanval is het in bepaalde gevallen mogelijk voor een aanvaller om de inhoud van een versleutelde e-mail te achterhalen.

Hiervoor moet een aanvaller over een versleutelde e-mail van het slachtoffer beschikken en moet de e-mailclient van het slachtoffer HTML-code / remote content uitvoeren. Thunderbird 52.9 verhelpt in totaal twaalf kwetsbaarheden, waaronder twee EFAIL-lekken. Via de twee kwetsbaarheden is het mogelijk om ontsleutelde S/MIME-gedeeltes via HTML of CSS te lekken wanneer ze aan een HTML reply/forward worden toegevoegd, aldus de omschrijving van Mozilla.

SettingContent-ms-bestanden

Onlangs waarschuwde onderzoeker Matt Nelson voor aanvallen via SettingContent-ms-bestanden. Dit is een bestandsformaat van Windows 10 dat eigenlijk XML-code is om snelkoppelingen naar het Configuratiescherm te maken. Het is echter ook mogelijk om andere uitvoerbare bestanden aan te roepen. Een aanvaller kan een SettingContent-ms-bestand aan een Office-document toevoegen. De gebruiker wordt dan bij het openen van het document gevraagd of hij dit bestand wil uitvoeren, maar krijgt verder geen waarschuwing te zien.

"Windows 10 waarschuwt gebruikers niet voor het openen van uitvoerbare bestanden met de SettingContent-ms-extensie, zelfs wanneer ze gedownload zijn van het internet en het "Mark of the Web" hebben. Zonder deze waarschuwing kunnen nietsvermoedende gebruikers, onbekend met dit nieuwe bestandstype, een ongewenst uitvoerbaar bestand uitvoeren", aldus Mozilla. Ook zorgt het ervoor dat een WebExtension met de beperkte "downloads.open" permissie zonder interactie van de gebruiker willekeurige code op Windows 10-systemen kan uitvoeren. Thunderbird gaat dit nu tegen. Updaten naar Thunderbird 52.9 kan via de automatische updatefunctie en Thunderbird.net.