Reproduzierbarer Absturz durch Spam (Virus?)

Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
* Thunderbird-Version: 31.6
* Betriebssystem + Version: Ubuntu 14.04
* Kontenart (POP / IMAP): beides
* Postfachanbieter (z.B. GMX): 1&1, GMX,...
* Eingesetzte Antivirensoftware: --
* Firewall (Betriebssystem-intern/Externe Software): --

Hallo zusammen,

bisher dachte ich, vor bösartigen Mails halbwegs sicher zu sein, wenn ich den Anhang nicht öffne, HTML ausgeschaltet lasse und auch Anhänge nicht eingebunden anzeige. Nun habe ich eine Mail bekommen (angeblich von DHL, allerdings leicht als Fälschung zu erkennen), die TB zum "Stehen" bringt, sobald man nur die Mail markiert. TB friert ein und kann nur noch beendet werden.
Die Mail hat einen PDF-Anhang, und der Text selbst ist auch base64-kodiert. "Manuell" base64-decodiert ist der Text aber immer noch sehr viel Zeichensalat zwischen HTML-Tags, beginnend mit

<HTML><META content="text/html; charset=utf-8" http-equiv=Content-Type><BODY><font style="font-size:1px;color:white;">

... also als HTML "unsichtbar", und das PDF enthält einen "bösen" Link. Bösartig scheint mir aber auch der Mail-Body zu sein, der auch einen Texteditor überfordert, der friert nämlich ein wie TB, wenn auch nur vorübergehend. Nun frage ich mich, ob hier jetzt nicht doch irgendwas schlimmes passiert ist ?
Ja, man sollte solchen Müll unbesehen löschen, aber mit TB ging das gar nicht, weil schon das Markieren der Mail zum Einfrieren führte. Bei IMAP kann man über Webmail gehen, bei POP3 hilft nur, die Mailboxdatei zu editieren. Und dabei wurde mein Interesse geweckt, und ich hab die Mail auseinandergenommen, nur so richtig schlau bin ich immer noch nicht - ist das ein "Doppelpack", der einerseits (mit Text/HTML!) einen buffer overflow o.ä. erzeugen soll und andererseits, wenn das nicht klappt, noch einen Downloadlink anbietet?

Gruß, muzel

Was es alles gibt. Vielleicht ist eine gute Idee, dafür einen bug aufzumachen und den Entwicklern den Code zur Verfügung zu stellen. Immerhin bringt er den TB zum Hängen.

Zitat von muzel

Nun frage ich mich, ob hier jetzt nicht doch irgendwas schlimmes passiert ist ?

Für sehr wahrscheinlich halte ich das in Deinem Fall nicht. Selbst wenn die E-Mail Schadcode enthalten sollte, es müsste ja einer sein, der unter Linux ausführbar ist.
Sofern Du es aktiviert* hast, könnte JS-Code direkt im TB ausgeführt werden. Aber auch der wäre ja mit großer Wahrscheinlichkeit auf Windows ausgelegt und liefe außerdem ja nur mit den Rechten Deines Users.
Vielleicht ist der TB aber genau deshalb hängen geblieben. Dass er hängt, halte ich eher für ein gutes Zeichen. Jemand, der Schadcode zur Ausführung bringen will, möchte ja, dass dieser vollständig und möglichst unbemerkt ausgeführt wird.

*Hab gerade gelesen, dass sich JS seit TB3 nur noch für Newsfeeds aber nicht mehr für Mails aktivieren lässt.

Hi Susi,
in meinem Hauptprofil ist HTML und JS ausgeschaltet, in meinem Testprofil habe ich allerdings die Standardwerte, also "ein". Da war überhaupt nichts zu bemerken, die Mailvorschau blieb (wie vermutlich beabsichtigt) leer. Javascript müßte allerdings für die Ausführung, so hoffe ich, zwischen entsprechenden Tags stehen, und die gibt es nicht.
Ich glaube zwar nicht, daß sich jemand den Bug ansieht (es gibt viel zu tun, drehen wir mal die Versionsnummer hoch...), aber ich mach bei Gelegenheit einen auf.
Danke+Grüße, muzel

Hallo muzel,

hast Du noch eine Windows-Umgebung zur Verfügung? Falls ja, dann könntest Du den TB samt Profil in Sandboxie packen und dort die E-Mail öffnen. Auf diese Art könntest Du rasch sehen, ob und in welche Verzeichnisse beim Öffnen dieser E-Mail geschrieben werden soll.

Gruß

Susanne