[English]Die Entwickler des Thunderbird E-Mail-Clients wollen so langsam damit beginnen, Benutzer des Thunderbird 78.x auf den neuen Thunderbird 91.x-Entwicklungszweig umzustellen. Im Thunderbird 91 sollten sich Nutzer aber auf Probleme bzw. Ungereimtheiten einstellen. Zudem schaffen es die Entwickler wohl seit sechs Jahren nicht, Add-Ons im Benutzerprofil auf Legitimität zu überprüfen. Hier ein kleiner Überblick zu diesem Themenfeld.
Anzeige
Umstieg von 78.x auf Thunderbird 91 beginnt bald
Im Entwicklungszweig 78 des Thunderbird ist bald Schluss – denn mit dem Thunderbird 78.15.0 endet die Entwicklung (Tom hat hier drauf hingewiesen). Aktuell sind wir beim Thunderbird 78.14.0 (siehe Thunderbird 78.14.0), aber es gibt bereits den Thunderbird 91-Entwicklungszweig (siehe Thunderbird 91.2.0).
Bei Bleeping Computer habe ich folgendes gefunden: Am 5. Oktober 2021 nutzten 85 % der Thunderbird-Benutzer die Client-Version 78, und nur 9 % hatten das manuelle Upgrade auf 91 durchgeführt.
Bisher wurden Nutzer des Thunderbird 78.x noch nicht auf die Version 91 aktualisiert, wenn man nach Updates suchen lässt. Ich selbst bin noch auf der Version 78.x und bei einer Update-Suche wird nach noch kein Thunderbird 91 angeboten. Aber sowohl ghacks.net als auch Bleeping Computer berichteten vor einigen Tagen, dass die Umstellung auf die Version 91 per Update erfolgt – läuft vermutlich in Wellen.
Was man wissen/beachten sollte
In den letzten Tagen und Wochen sind mir von Blog-Lesern diverse Informationen rund um den Thunderbird zugegangen, die ich hier im Beitrag mit aufgreifen und im Blog einstellen möchte.
Thunderbird 78: Update auf 91 aktiviert JavaScript via PDF-Reader!
Blog-Leser Patrick meldete sich bereits am 23. September 2021 bei mir und wies auf eine Änderung hin, die beim Upgrade vom Thunderbird 78.x auf die Version 91.x erfolgt. Patrik schrieb mir dazu.
Anzeige
Hallo Günter,
wie bereits zu erwarten war, wird mir dem nun gestarteten Update von Thunderbird auf die Version 91 innerhalb der Anwendung auch der neue, integrierte JavaScript-Reader zur Verfügung gestellt.
Mit der PDF-Funktion wird in Thunderbird gleichzeitig auch JavaScript für die Dokumente aktiviert, was eigentlich innerhalb von E-Mails bisher aus Sicherheitsgründen nicht der Fall gewesen ist und im Modus "Nur Text" sicher nicht unbedingt erwünscht sein kann.
Sowohl das PDF-Scripting (pdfjs.enableScritping = false) wie auch der PDF-Reader (pdfjs.disabled = true) lassen sich über den Config-Editor deaktivieren.
Vielleicht im Hinterkopf behalten und JavaScript nach der Umstellung im Thunderbird 91.x deaktivieren. Danke an Patrick für den Hinweis.
Data-Reporting beim Thunderbird
Blog-Leser Z.A. kontaktierte mich am 26.9.2021 per E-Mail und wies mich darauf hin, dass auch der Thunderbird ein Data-Reporting betreibt. In nachfolgendem Text bezieht er sich auf meinen Blog-Beitrag Zieht der Firefox 89/90 wieder Daten ab?, in dem ich auf das Abziehen von Benutzerdaten durch den Firefox eingehe. Dazu schrieb mir Z.A., dass das auch beim Thunderbird der Fall sei.
Guten Tag Herr Born,
vor einiger Zeit hatten Sie das Thema Data-Reporting beim Firefox aufgegriffen. Blog-Leser hatten Maßnahmen beigesteuert, wie das Reporting zu verhindern ist. Habe erst heute festgestellt, dass auch bei Thunderbird der Archive-Ordner (zu finden im Profil) angelegt und bei mir reichlich gefüllt ist.
Falls es jemanden interessiert hier ein Vorschlag Datareporting bei TB (ich nutze 78) auszuschalten.
Alles über Einstellungen – Allgemein – Konfiguration bearbeiten (ganz unten)
Deaktivieren der Mozilla Telemetry
browser.send_pings = false
browser.send_pings.max_per_link = 0
toolkit.telemetry.enabled = false
toolkit.telemetry.unified = falseThunderbird kontaktiert täglich Mozilla und sendet eine genaue Liste der installierten Add-ons
extensions.getAddons.cache.enabled = false
Beacons deactivieren: beacon.enabled = false
Timing APIs deactivieren : dom.enable_resource_timing = false
Vielleicht hilft es euch weiter – danke an Blog-Leser Z.A. für den Hinweis.
Signaturprobleme mit Outlook?
Blog-Leser Headster hat sich auf meinen Blog-Beitrag Thunderbird 91.2.0 mit einem Kommentar gemeldet, in dem er auf ein Problem beim Thunderbird 91.x in Verbindung mit signierten E-Mails und Microsoft Outlook hinweist. Er schreibt:
Hallo zusammen, mir ist vor ein paar Tagen ein Bug aufgefallen – zumindestens vermute ich, dass es sich um einen Bug handelt – der bei mir erst seit dem Upgrade auf den 91.x Zweig auftritt:
Ich signiere ausgehende E-Mails mit S/MIME. Thunderbird bewertet die Signatur als gültig, Outlook 365 moniert hingegen, dass die Nachricht manipuliert sei; in den Details ist ersichtlich, dass Outlook davon ausgeht, dass die Nachricht möglicherweise nach dem Signieren geändert worden sei.
Als mir das die Tage durch Zufall aufgefallen ist, habe ich mir das näher angesehen und folgende Punkte herausgefunden:
- Tritt erst seit Wechsel vom 78.x auf den 91.x Zweig auf (Zertifikat und Einstellungen bzgl. S/MIME wurden zwischenzeitlich nicht geändert)
- Tritt sowohl unter Windows, macOS und Linux auf
- Tritt allerdings nur auf, wenn Mails als HTML formatiert sind – bei nur-Text Nachrichten meckert Outlook nicht!
- Thunderbird selbst befindet sämtliche Mails (HTML + nur-Text) immer als korrekt signiert
Es kann sich natürlich auch um einen Bug in Outlook 365 handeln, allerdings trat der Fehler bei Mails, die noch mit Thunderbird 78.x signiert wurden, wie gesagt noch nicht auf.
Kann das evtl. jemand bestätigen bzw. kennt einen Workaround? Ich habe im Netz bislang wenig brauchbares dazu gefunden.
Der Kommentar ist etwas versandet und es gab keine Rückmeldungen. Falls jemand das bestätigen kann, wäre das hilfreich. Danke an Headster für den Hinweis.
S/Mime-Bug unter Windows
Blog-Leser Mark Heitbrink hat mich noch darauf hingewiesen, dass S/Mime nur mit dem Thunderbird-Zertifikatsstore funktioniert. Mit Microsoft Zertifikatsstore schlägt das signieren/verschlüsseln mit S/Mime fehlt. Es gibt einen Bug-Report, der aber bereits geschlossen ist. Der Fehler ist laut Mark aber noch vorhanden.
Sicherheitslücke seit 6 Jahren
Stefan Kanthak hat mich die Tage per E-Mail auf eine unschöne Sache hingewiesen, die den Firefox und den Thunderbird betrifft. Seit sechs Jahren gab es eine Schwachstelle im Firefox/Thunderbird, über die Add-Ons im Profil überschrieben werden können. Das ließe sich zum Ausführen beliebigen Codes missbrauchen, indem ein Angreifer die Add-Ons im Benutzerprofil austauscht. Vor sechs Jahren wurde dieser Bug-Eintrag zum Firefox 31 eingereicht. Vor einer Woche wurde dieser Bug-Report als "geschlossen" markiert, weil der Thunderbird-Kalender jetzt kein Add-On mehr ist – das Problem ist aber bisher nicht behoben.
Anzeige
Nach Version 52 kam bei Thunderbird nichts Brauchbares mehr. Was damals an nützlichen AddOns gekillt wurde, schreit bis heute vergeblich nach Ersatz. „Dieses Add-on ist mit Ihrer Version von Thunderbird nicht kompatibel. " ist der häufigste Satz in prominenten AddOn-Sammlungen. Ein Mailprogramm mit Browser-Allüren, für das es nicht mal einen Werbeblocker gibt – geht einfach gar nicht.
Dazu der sperrige Menü-Eintrag „Termine und Aufgaben" für einen Kalender, den man vielleicht gar nicht nutzen will, aber nicht los wird.
Telemetrie? JavaScript? Warum nicht gleich noch einen exhumierten FlashPlayer implementieren? Oder Office-Makros ausführen?
Wenn man nur ein Programm zum Mailen will und sich nicht sämtliche Sicherheitslücken aus dem Browser-Bereich aufhalsen will, dann kann man sich die Updates schenken. Mozilla hat seit Jahren nichts Nützliches mehr auf die Reihe gebracht. Nur massig Speck angesetzt.
naja dafür hat ja Mozilla nen Händchen: Echt Gutes konsequent zerstören!
Egal ob Browser oder Mailer oder Kalender.
Deine Kritik kann ich verstehen. Aber was, Deiner Meinung nach, ist die bessere Alternative zu Thunderbird? Welches Mailprogramm macht es besser? Im Gegensatz finde ich die Implementierung von z.B. CalDAV und CardDAV sehr gut. Damit spart man sich nämlich die blöden Addons, die eben auch nicht richtig funktioniert haben. Wäre ja schön, wenn Windows das nativ unterstützen würde. Wie machst Du das denn mit Terminen?
Für meine Termine habe ich ein separates Kalenderprogramm. Es muss nicht alles miteinander verschraubt und verkabelt sein. URLs öffne ich im Browser, PDFs im PDF-Reader usw.
Ansonsten heißt meine Alternative zu Thunderbird Thunderbird. Nur eben in der 52.9er-Version – mit Adblocker, der mir zweifelhafte Elemente aus den Mails raushält. Für mich mehr als ausreichend.
Zu beiden unten beschriebenen Fehlern: (Nochmals) bei Bugzilla einkippen, am Besten mit Proof of Concept. Das habe ich schon dutzende Male bei Thunderbird und Firefox gemacht, und bisher wurde alles gefixt, auch wenn sich manches zwischendurch fast totdiskutiert hatte…
@1ST1 Genau so funktioniert Open Source! Danke. Nur immer mosern hilft da nicht viel, dann ist kommerzielles SLA sinnvoll.
Ich bin schon vor mehreren Wochen vom TB 78 auf den 91er umgestiegen, manuell. Der 78er ist schon seit Monaten faktisch tot, da wurden kaum noch (Sicherheits-)Updates dafür veröffentlicht. Ich bin in der Hoffnung umgestiegen, dass das Ding endlich (wie angekündigt) Multithreaded wird und sich nicht mehr selbst blockiert. Aber das passt auch beim 91er regelmäßig, auch der hat massive Probleme beim Mailabruf, wenn gleichzeitig die Ordnerkomprimierung gestartet wurde, dann schlagen nämlich oft die automatischen Filterregeln fehl, weil der Zielordner gerade komprimiert wird, statt dessen kommt eine modale Fehlermeldung, dass es eben gerade nicht geht, und erst nach Drücken auf Ok geht der Mailabruf weiter. Das ist nach wie vor ziemlich nervig. Aber gut, Outlook ohne einen Exchange-Server dahinter ist hier auch nicht wirklich besser (die Möglichkeiten bei den Filterregeln sind sogar viel eingeschränkter)… Ich habe die Thunderbird-Macher auch schon gefragt, warum die Ordnerkoprimierung schon direkt nach dem Programmstart gestartet wird, bzw. immer genau dann, wenn man das TB-Fenster von hinten nach vorne, oder aus der Taskleiste hoch klappt. Kann die nicht nur dann laufen, wenn der TB gerade zwar offen, aber nicht benutzt wird…? Keine vernünftige Antwort.
Und ich dachte, diese Trägheit kommt vom verschlüsselten Dateisystem. Naja, vielleicht dann besser mit 24/7 Betrieb in virtueller Maschine.
@1St1 :"Aber das passt auch beim 91er regelmäßig, auch der hat massive Probleme beim Mailabruf, wenn gleichzeitig die Ordnerkomprimierung gestartet wurde, dann schlagen nämlich oft die automatischen Filterregeln fehl…"
Dann musst Du die Option aktivieren , "vor dem Optimieren Fragen".
Das habe ich schon vor Jahren gemacht. Seit dem keine Probleme mehr.
Es kommt der Hinweis auf Speicherplatz freigeben, dann lasse ich die Mails in Ruhe abrufen und gebe dann erst den Speicherplatz frei.
Alle Änderungen zum Deaktivieren der Telemetriedaten gelten schon für Thunderbird 78.x und auch für Firefox und teilweise für TOR. Persönlich habe ich noch keine Erfahrung mit Thunderbird 91. Obwohl ich eine 64 Bit Architektur habe, bin ich mit Thunderbird stets auf die 32 Bit Version geblieben. Die 64 Bit Versionen hatten einfach zu viel Chaos verursacht. Ich bin mal auf die 91er Version gespannt.
Dies Klage wegen den Add-Ons hört man dauernd. Die Entscheidung wurde aus Sicherheitsgründen getroffen. In allen Browsern wurde die Plugin-Schnittstelle angepasst auch in Chrome. Dass dabei einige Erweiterungen unter die Räder kamen, deren Entwickler keine Zeit mehr haben oder deren Entwicklung ohnehin schon lange eingeschlafen ist, ist ärgerlich. Mir sind auch einige geliebte Erweiterungen weggefallen.
Nur: Beim Thema Sicherheit – vor allem beim Browser und beim Mailclient – sollte man keine Kompromisse machen. So sehr ich euren Ärger verstehe, der Schritt zur neuen Schnittstelle war dringend nötig und kein Punkt für Kritik.
"Normalerweise" hätte sich laut den Veröffentlichungshinweisen:
der THUNDERBIRD hier schon auf Version 78.15.0(ESR) aktualisieren müssen.
Seit dem 06.10.2021 warte ich darauf, den bisher hat das automatische Aktualisieren bis zur Version 78.14.0(ESR) immer funktioniert – hat es aber bis zum heutigen Tage nicht.
Somit bleiben zwei als hoch eingestufte Schwachstellen nicht behoben.
Sieht bei mir auf mehreren Clients genauso aus. Weiß da jemand näheres? Wurde das 78.15 zurückgezogen?
78.15 kommt nicht, hat es noch nicht mal als Beta gegeben.
Irgendwann wird Thunderbird 78.14 automatisch das Update auf 91.x bekommen.
Dass es immer noch nicht automatisch kommt, ist für Anwender gefährlich, die es nicht manuell drüber installieren wollen, weil es einige Sicherheitslücken in den alten Versionen gibt.
https://marius.bloggt-in-braunschweig.de/2021/09/08/rce-schwachstelle-in-thunderbird-91-1-78-14-und-firefox-91-1/
Natürlich ist es fahrlässig, das man bei Thunderbird mit dem automatischen Update auf den neuen Versionszweig so lange braucht, aber das scheint bei ihnen Tradition zu sein, dass sie es regelmäßig nicht gebacken bekommen.
Die haben Angst, dass ein zügiger Wechsel schief geht und es schlechte Presse gibt, wobei das Aussitzen mit offenen Sicherheitslücken das größere Übel ist.
Also nicht auf die Schnarchnasen warten, sondern erst ein Backup und das Update selbst machen!
Mozilla ein ein US Konzern. Mit all den vielen vielen Nachteilen die das mit sich bringt.
Der Vorstand (Mitchell Baker, Katherine Bose und ein dicker Glatzkopf) haben den Nutzeranteil auf wenige Prozent runtergebracht. Die vermeintlichen technischen Visionen und Innovationen sind ein Fehler gewesen – die Wahl der Programmiersprache, der Wechsel bei der Plugin Integration, der Deal Google Daten zu verkaufen usw. – es gibt nur schlechte Entscheidungen von Frau Baker und Frau Bose.
"Non-Profit" ist bei Mozilla auch so eine Lüge bei der es einem hoch kommt. Frau Baker ist schon Jahre in top bezahlter Position und nicht freiwillige Helferin in einer Suppenküche. Fake also einfach alles was Mozilla macht.
Schaden wir nicht alle der OpenSourceLandschaft, wenn wir den schlechtesten Teilnehmer so lange unterstützen?
Das Problem mit dem SMIME-Fehler in Outlook kann ich bestätigen, bin im Moment noch auf der Suche nach einer Lösung.
Ist auch mit 91.3.0 vorhanden
Jap, kann ich bestätigen – Situation leider unverändert wie schon bei Thunderbird 91.1 und 91.2. Bei Nur-Text Mails meckert Outlook bzgl. der Signatur nicht, bei HTML wurde die Nachricht angeblich manipuliert; Thunderbird selbst akzeptiert beide Varianten ohne Fehlermeldung.
Bei mir gibt es auch das Problem mit der Signatur. Empfänger Outlook meckert, Gmail dagegen – kein Problem. Ich überlege eine ältere TB Version vorübergehend zu nutzen, oder Umstieg zu Outlook.
SMIME Fehler kann ich ebenfalls bestätigen. Tritt sowohl bei Outlook als Empfänger als auch bei unserem Zimbra Webmail auf. Ausschließlich signierte Mails gehen bei uns durch, wenn man in den Einstellungen den Parameter "mail.strictly.mime" auf true umstellt. Das Problem besteht dann aber weiterhin bei verschlüsselten Mails. Vielleicht hat noch jemand Tipps dazu?
Hallo!
Ich nutze Thunderbird seit vielen Jahren, aber nun macht die aktuelle Version 91.3.2 zwei Probleme.
1. Fehler: Gehe ich auf Extras > Einstellungen, um etwas zu ändern, so stürzt der Browser jedes Mal ab. Es kann nicht an meinem PC liegen, da beim Notebook das gleiche Problem auftritt.
2. Fehler: Sende ich mir eine E-Mail über Blindkopie zurück, so wird die Schriftart automatisch geändert und anstelle normaler Schriftgröße erscheint die Schrift nun ziemlich groß. Das liegt nicht an meinen Einstellungen. Die alten Mail aus Version 78.x sind noch immer wie früher in derselben Größe wie beim Versenden. Aber seit Version 91.x gibt es nun das Problem, dass die automatisch zurückgeschickten Mail eine viel zu große Schrift haben. Dieses Problem kann man mit keiner mir bekannten Einstellung lösen. Warum also kommt die Schrift viel größer zurück, als sie verschickt wird? Dann werden beim Ausdrucken aus einer Seite drei Seiten.
Weiß jemand Rat zu diesen beiden Problemen?
Bug in TB in Verbindung mit SMIME Verschlüsselungsnutzung.
Tritt nicht erst ab den 90er Versionen auf, ist auch in der Vorgruppe vorhanden.
Beschreibung, speziell hier TB unter Linux (20.x)
SMIME Verschlüsslung ein (Signierung egal).
Wird eine neue Mail erstellt (insbesondere wenn über einen etwas längeren Erstellungs-Zeitraum), dann müllt die Autosave-Funktion, die erzeugte Rücklagekopie im Entwurfsordner fortlaufend! weiter auf.
Auch bei fester Erstellungs-Mailgröße müllt jeder weitere Autospeichervorgang die Mail im Entwurfsordner weiter auf.
Das gleiche geschieht bei jedem eigens ausgelösten Speichervorgang, die Mail wird jeweils weiter aufgemüllt.
Kommt diese offene Mail zum Versand, wird nicht die im Fenster angezeigte, noch offene Mail versendet, sondern die im Enwurfsordner aufgemüllte Version. Unschwer reproduzier und überprüfbar.
Was genau das ist was versendet wird ist für mich unklar.
Da in Grundeinstellung die Mailgrößen nicht angezeit werden, wird ein 0815 Nutzer das kaum bemerken. Ist die Verschlüsselung deaktiviert, tritt das Problem nicht auf.
Der Bug könnte in Zusammenhang mit dem weiter oben geschilderten Signierungsproblem stehen, insbesondere wenn diese Mails zugleich auch verschlüsselt waren. Das ist aber nur eine Vermutung!!