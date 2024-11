Thunderbird kan de inhoud van met OpenPGP versleutelde e-mail lekken als er gebruik wordt gemaakt van remote content. Er is een beveiligingsupdate uitgebracht om het probleem te verhelpen. Details over de kwetsbaarheid, aangeduid als CVE-2024-11159, zijn niet openbaar. De informatie is alleen toegankelijk op het bugplatform van Mozilla voor accounts met voldoende rechten.

De impact van de kwetsbaarheid wordt door Mozilla omschreven als 'High'. Ruim zes jaar geleden kreeg de e-mailclient met een soortgelijk beveiligingslek te maken. "Using remote content in encrypted messages can lead to the disclosure of plaintext", aldus de beschrijving van CVE-2018-5184. In plaats van 'encrypted' gebruikt CVE-2024-11159 de tekst 'OpenPGP encrypted', maar heeft verder een identieke beschrijving. Gebruikers worden opgeroepen om te updaten naar Thunderbird 128.4.3 waarin het probleem is verholpen.