Thunderbird 78.3.1 freigegeben

[English]Die Entwickler des E-Mail-Client Thunderbird haben zum 25. September 2020 die Version 78.3.1 des E-Mail-Clients freigegeben. Es handelt sich um ein Wartungsupdate für die 78er-Hauptversion des E-Mail-Clients, welches einen Fixes für Abstürze enthält. Zudem gibt es eine Warnung des BSI für Bürger für Thunderbird-Versionen unterhalb 78.3 – die ich aber nicht wirklich für ausgegoren halte. Ergänzung: Und mit OpenPGP gibt es auch Probleme.


Anzeige

Änderungen in Thunderbird 78.3.1

Blog-Leser Gerold weist in diesem Kommentar auf das Update des Programms hin (danke dafür). Der Thunderbird 78.3.0 sollte wegen eines Absturzes übersprungen werden (siehe Release Note). In den Release-Notes zum Thunderbird 78.3.1 wird nur eine Änderung aufgelistet:

Thunderbird crashed after updating to 78.3.0

Für den für den 22.9.2020 geplanten Thunderbird 78.3.0 werden folgende Änderungen angegeben (gelten auch für die 78.3.1):

  • OpenPGP: Improved decryption performance with large messages
  • OpenPGP: Do not show external key UI when disabled by preference
  • Account setup wizard will now open a popup when connecting to a server with a self-signed SSL/TLS certificate
  • Installation of “legacy” MailExtensions now disabled
  • Reply-To header moved in compose window; now appears under From header
  • Calendar: Sidebar UI improvements

Hinzu kommen folgende Fehlerbehebungen:

  • Selecting “Cancel” on the Master Password prompt at startup incorrectly reported corrupted OpenPGP data
  • OpenPGP: Creating a new key pair did not automatically select it for use
  • Dragging & Dropping recipient pills resulted in lost pills when an error was present
  • Spellcheck suggestions were unreadable in dark theme
  • Calendar: Multiple password prompts opened
  • Linux Distributions: UI was not rendered completely when built without updater
  • MailExtensions: browser.folders.delete failed on IMAP folders

Hinzu kommen diverse Sicherheits-Fixes, die alle aber moderat eingestuft sind. Als bekanntes Problem gibt man an, dass die ‘Nachrichtenliste ist beim Start nicht fokussiert’ sei.

Systemvoraussetzungen

Die Systemvoraussetzungen für die verschiedenen Betriebssystemversionen (siehe auch):

  • Windows: Windows 7, Windows Server 2008 R2 oder höher
  • Mac: Mac OS X 10.9 oder höher
  • Linux: GTK+ 3.4 oder höher

Den Download gibt es hier. Der Thunderbird ist übrigens kostenlos.

Upgrade von Version 68.x und BSI-Warnung

Blog-Leser enrico_Mnch hat mich auf diese Warnung des BSI für Bürger hingewiesen (danke dafür). Die haben zum 25. Sept. 2020 den technischen Sicherheitshinweis TW-T20-0166 veröffentlich.

Der Mozilla Thunderbird: Mehrere Schwachstellen ermöglichen Ausführen von beliebigem Programmcode mit Benutzerrechten

Art der Meldung: Sicherheitshinweis
Risikostufe 3
Betroffene Systeme: Mozilla Thunderbird < 78.3

Empfehlung: Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.


Anzeige

Diese Empfehlung hat nur einen Haken. Laut dem Blog-Beitrag Thunderbird 68.x: Update auf Version 78.x sollte der Thunderbird 68.x zwar auf die 78.x aktualisiert werden. Mir wurde das Update, als ich den Beitrag schrieb, auch angeboten, ich habe es aber zu dieser Zeit nicht installieren lassen. Nun wird das Upgrade bei meinem Thunderbird 68.12.0 nicht angeboten. Die Mozilla-Entwickler haben das Upgrade als wohl (vermutlich wegen der Absturzproblematik) deaktiviert.

Probleme mit der Version 78.x

Auf Twitter wies mich Blog-Leser Patrick Pinkepank darauf hin, dass die Version 78.x des Mail-Clients für OpenPGP kaum produktiv nutzbar seinen.

Die #Bugs von #Thunderbird 78.x laufen mit #Windows 10 2004 um die Wette und als Anwender möchte ich den Computer einfach nur noch wegwerfen, @etguenni. Als Sysadmin kann man Thunderbird 78.x + OpenPGP sicher (noch) nicht für den produktiven Einsatz empfehlen! cc @mozthunderbird

Aktuell zeigt #Thunderbird 78.3.1 in der 32- und 64-Bit-Version unter #Windows 10 beim Antworten einer verschlüsselt und signiert eingegangenen E-Mail einen Fehler der digitalen Signatur der Eingangsmail an. Beim Eingang sind die Signaturen noch okay.


Anzeige


Dieser Beitrag wurde unter Thunderbird, Update abgelegt und mit Thunderbird, Update verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Thunderbird 78.3.1 freigegeben


  1. Anzeige
  2. Matthias Gutowsky sagt:

    Hallo. Nur ein Hinweis: Dein Link zeigt auf die Release-Notes von 78.2.2, nicht 78.3.1
    Bei mir wird übrigens bei der Updatesuche (Version 78.2.2) kein Update gefunden.

  3. Anzeige

  4. deoroller sagt:

    Jetzt gibt es auch noch Mozilla Thunderbird 68.12.1.
    Von einer geschlossenen Sicherheitslücke steht da aber nichts.
    https://www.thunderbird.net/en-US/thunderbird/68.12.1/releasenotes/

    Das ist wohl ein Update für Leute, bei denen das automatische Update auf den 78er Zweig klemmt, damit sie auch eine sichere Version bekommen.

  5. Gerold sagt:

    Neue Version 78.3.2, kommt bereits über Autoupdate rein, diverse Fixes.

    https://www.thunderbird.net/en-US/thunderbird/78.3.2/releasenotes/

  6. Reiner Wahnsinn sagt:

    Keine Passhrase mehr möglich – Masterpasswort hilft nicht!
    **************************************************
    Die neue E-Mail-Verschlüsselung im aktuellen Thunderbird lässt sich mithilfe des Masterpassworts nicht absichern, somit ist das kein geeigneter Ersatz zu einer Passphrase! Vergibt man ein Masterpasswort, funktioniert es zwar, dass Eingabefeld erscheint. Wer aber physikalischen Zugriff bspw. zum Rechner hat, der Besitzer / User jedoch seine verschlüsselten Mails nach dem Lesen nicht gelöscht hat, hat ein Schnüffler extrem leichtes Spiel. Er muss beim Erscheinen des Eingabefeldes statt des Masterpassworts lediglich zweimal auf Abbruch klicken und schon startet der Thunderbird, alle Mails sind gut lesbar. Genau so schlimm ist es, sitzt von Anfang an der Falsche vorm Rechner und gehen Verschlüsselte Mails ein, sind die E-Mail sofort entschlüsselt. Müll! Getestet unter Linux Debian Buster. In meinen Augen ist das der zweite Angriff nach Autocrypt, auf die PGP-Verschlüsselung und eine deutliche Schwächung im Allgemeinen. Ich kann nicht verstehen, wie man solch ein wichtiges Detail wie der Passphrase weglassen konnte, ohne dem User eine Möglichkeit zur Hand zu geben, selbst zu entscheiden, ob er/sie/es eine Passphrase vergeben will oder nicht. Auch interessant wäre ein PenTest auf die Verschlüsselung selbst, denn auffallend ist die extrem und in sekundenschnelle Einrichtung der Verschlüsselung im Allgemeinen. Unter Windows ist die openPGP Verschlüsselung generell nicht empfehlenswert aufgrund der mangelnden Absicherung des Betriebssystems im Allgemeinen. Windows selbst ist für einen sicheren Einsatz nicht geschaffen worden, ist aber ein anderes Thema und ein Fass ohne Boden. Siehe bspw. DANE on the Box unter Windows. DNS Resolver & DNSSEC nur ein Beispiel von vielen.

    Einen schönen Abend noch und mach weiter so. Danke

    MfG

    PS. Dieser Beitrag dient lediglich der Kenntnisnahme und muss nicht veröffentlicht werden! Er kann durch den Admin jedoch zur Sprache gebracht werden. Eine korrekte E-Mail-Adresse gebe ich aus Sicherheitsgründen nicht an, da Sie bspw. ohne Hinweis oder Erlaubnis Canvas-Daten abfragen und mehr.

    • Günter Born sagt:

      Zum PS: Ich habe den Beitrag einfach mal zur Kenntnisnahme und Diskussion freigeschaltet.

      Zur fehlenden E-Mail-Adresse: Das ist in Ordnung, ich lasse aus Sicherheitsgründen explizit anonyme Kommentare zu (siehe Kommentieren im Blog). Mail-Adresse macht für mich nur Sinn, wenn ich eine Nachfrage hätte.

Schreibe einen Kommentar zu Gerold Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.