Was mach ich falsch? -> in Thunderbird tauchen plötzlich Addons auf

[Markus Everson]

Ich hab hier ein VirtualBox mit einer VM die nur und ausschließlich Thunderbird auf Ubuntu als Email-Appliance enthält. Soweit, so gut. TB ist zwar auf der Abschußliste (ein Mailclient der ungefragt HTML rendert und eine Javaengien enthätl -> die spinnen!), aber bisher dachte ich das ich damit nur ein latentes Sicherheitsproblem habe.

Nun checke ich routinemäßig mal die Menues und - holla die Waldfee - unter Addons lacht mich ein halbes Dutzend Sicherheitslücken und Datensammler an und zeigt mir den Stinkefinger.


Wo kommen die her?

- Itunes Application Detector
- Quicktime Plugin
- VLC Multimedia Plugin
- Windows Media Player Plugin


Was soll der Scheiß? Ich will diesen Dreck nicht in meinem EmailClient haben!

Also erste Frage: Wo kommt der Müll her? Installiert den Ubuntu? Hab ich irgendwann im Suff was installiert ohne es zu merken?

Zweite Frage: Wie werde ich den Scheiß wieder los? Ich schlage Thunderbird auch gerne die binären Zähne ein um ihm klarzumachen das er nur und ausschließlich Emails zu bearbeiten hat. Falls es auch einen Weg des Müsli gibt um ihm das klar zu machen...um so besser.

 

[Dalai]

Grade ausprobiert: Ubuntu 10.10 von der Live-CD gestartet, Thunderbird installiert und den Addon-Manager geöffnet. Vorhanden sind diese Plugins: DivX Web Player, iTunes Application Detector, QuickTime Plugin, VLC Multimedia Plugin und Windows Media Player Plugin 10. Bei den letzten dreien kann man eine Beschreibung unter dem Namen lesen: "The Totem 2.32.0 plugin handles video and audio streams" - also wird Totem diese Plugins mitbringen bzw. zur Verfügung stellen.

Woher der Rest kommt, weiß ich nicht. Los wird man die wohl durch Deinstallation der entsprechenden Pakete, aber welche das sind: . Synaptic befragen, ob er mit DivX, iTunes usw. irgendwas findet.

MfG Dalai

 

[Berniyh]

ein Mailclient der ungefragt HTML rendert und eine Javaengien enthätl -> die spinnen!

Was meinst du denn damit? Also mein TB enthält kein Java und Javascript kannst du deaktivieren.

Nun checke ich routinemäßig mal die Menues und - holla die Waldfee - unter Addons lacht mich ein halbes Dutzend Sicherheitslücken und Datensammler an und zeigt mir den Stinkefinger.


Wo kommen die her?

- Itunes Application Detector
- Quicktime Plugin
- VLC Multimedia Plugin
- Windows Media Player Plugin


Was soll der Scheiß? Ich will diesen Dreck nicht in meinem EmailClient haben!

Also erste Frage: Wo kommt der Müll her? Installiert den Ubuntu? Hab ich irgendwann im Suff was installiert ohne es zu merken?

Zweite Frage: Wie werde ich den Scheiß wieder los? Ich schlage Thunderbird auch gerne die binären Zähne ein um ihm klarzumachen das er nur und ausschließlich Emails zu bearbeiten hat. Falls es auch einen Weg des Müsli gibt um ihm das klar zu machen...um so besser.

Das ist relativ einfach. Es handelt sich ganz einfach um die Browser-Plugins, die auch in Firefox verfügbar sind. Genauer gesagt um die Plugins, die sich in einem der Pfade in $MOZ_PLUGIN_PATH befinden, oder in ~/.mozilla/plugins (evtl. gibt es auch noch andere Pfade im homedir, weiß ich jetzt nicht so genau).

Wo die jetzt genau herkommen kann ich dir nicht sagen, aber ich nehme mal an, dass du die bei Ubuntu mitinstalliert hast. Zum Beispiel durch ein Paket, das restriktive Extras enthält (was du evtl. installiert hast um Flash zu bekommen?). Da ich kein Ubuntu laufen habe kann ich dir da nichts genaueres sagen.
Wenn es über Ubuntu installiert wurde, dann kannst du die Plugins einfach über die SW-Verwaltung deinstallieren. Musst nur eben rausfinden, wie die Pakete heißen (sollte aber recht schnell gehen, wenn du in die entsprechenden Pfade schaust und dann dpkg nutzt um zu überprüfen, welchen Paketen diese Dateien zugeordnet sind).

Ansonsten kannst du auch einfach die Plugins deaktivieren, dann werden diese weder verwendet, noch sind sie in irgendeiner Form sicherheitsrelevant. So habe ich es mit dem Flash-Plugin in TB gemacht.

Wie auch immer, es verhält sich mit den Plugins in TB genauso wie mit den Plugins in FF. Beide erlauben es, einzelne Plugins zu deaktivieren und beide sollten die gleichen Pfade durchsuchen. Es sollten also auch in beiden Programmen die gleichen Plugins vorhanden sein.
Übrigens ist das VLC OSS. Beim Windows Media Plugin handelt es sich vermutlich um das mplayerplug-in, sicher bin ich mir da aber nicht, das wäre dann auch OSS.
Den Windows Media Player liefert Ubuntu meines Wissens nicht mit.

 

[Markus Everson]

Was meinst du denn damit? Also mein TB enthält kein Java und Javascript kannst du deaktivieren.

Javascript war gemeint und Javascript zu deaktivieren reicht erwiesenermaßen nicht aus. Ich hab die Nummer leider nicht abgespeichert, es gab aber bereits eine Sicherheitslücke die auch bei eigentlich deaktiviertem JS darauf zugegriffen und JS ausgeführt hat.

Klare Schlußfolgerung: Nur wenn es nicht vorhanden ist kann es sicher nicht für Angriffe mißbraucht werden.

Es handelt sich ganz einfach um die Browser-Plugins, die auch in Firefox verfügbar sind. Genauer gesagt um die Plugins, die sich in einem der Pfade in $MOZ_PLUGIN_PATH befinden, oder in ~/.mozilla/plugins (evtl. gibt es auch noch andere Pfade im homedir, weiß ich jetzt nicht so genau).

Ah, danke. dann werd ich mich da mal auf die Suche machen.

Wo die jetzt genau herkommen kann ich dir nicht sagen, aber ich nehme mal an, dass du die bei Ubuntu mitinstalliert hast. Zum Beispiel durch ein Paket, das restriktive Extras enthält (was du evtl. installiert hast um Flash zu bekommen?).

Wie eingangs beschrieben ist das eine reine Email-Appliance. FF habe ich dummerweise noch nicht deinstalliert und vermutlich schon ein oder zweimal versehentlich gestartet, es ist aber durch ProxyEinstellungen so verbogen das es im Normalfall weder Updates ziehen noch Plugins installieren noch Software downloaden noch irgendwelche Seiten ansurfen kann.

Ich glaube auch mich zu erinnern das ich nach der Installation die Addons in TB gecheckt habe. Das kann ich aber leider nicht mehr mit bestimmtheit sagen.

Wenn es über Ubuntu installiert wurde, dann kannst du die Plugins einfach über die SW-Verwaltung deinstallieren. Musst nur eben rausfinden, wie die Pakete heißen (sollte aber recht schnell gehen, wenn du in die entsprechenden Pfade schaust und dann dpkg nutzt um zu überprüfen, welchen Paketen diese Dateien zugeordnet sind).

Ich muß gestehen das ich da schon etwas eingerostet bin. Aber ok, ich werd den Weg anhand dieser Eckpunkte schon finden.

Ansonsten kannst du auch einfach die Plugins deaktivieren, dann werden diese weder verwendet, noch sind sie in irgendeiner Form sicherheitsrelevant.

Da widerspreche ich entschieden - siehe oben.

Den Windows Media Player liefert Ubuntu meines Wissens nicht mit.

Dann wäre es Fehler 50 und ich kann niemanden außer mich selbst dafür anspucken

 

[Berniyh]

Javascript war gemeint und Javascript zu deaktivieren reicht erwiesenermaßen nicht aus. Ich hab die Nummer leider nicht abgespeichert, es gab aber bereits eine Sicherheitslücke die auch bei eigentlich deaktiviertem JS darauf zugegriffen und JS ausgeführt hat.

Klare Schlußfolgerung: Nur wenn es nicht vorhanden ist kann es sicher nicht für Angriffe mißbraucht werden.

Wenn du dazu einen Link hättest, würde ich mir das gerne mal anschauen.

Ich muß gestehen das ich da schon etwas eingerostet bin. Aber ok, ich werd den Weg anhand dieser Eckpunkte schon finden.

Da ich Exherbo und nicht Ubuntu nutze kann ich dir da leider nicht wirklich weiterhelfen.
Bei zsh ist allerdings eine completion für dpkg dabei und die gibt mir den Hinweis, dass evtl.

dpkg -S /opt/netscape/plugins/libquicktime.so # Oder ein ähnlicher Pfad
--search              -S                   -- search for file owner

hilfreich sein könnte.
Da ich kein dpkg habe kann ich es aber nicht mit Bestimmtheit sagen.

 

[Markus Everson]

Wenn du dazu einen Link hättest, würde ich mir das gerne mal anschauen.

Leider nein, ich könnt mir selbst in den Hintern beißen das ich den Link verlegt habe. War eine Cert Meldung die ich routinemäßig verfolgt habe und bei der mir die Kinnlade runtergeklappt ist.


Schau Dir aber mal http://www.novell.com/linux/security/advisories/2005_28_mozilla_firefox.html
an. Workarounds none. In der Meldung auf die ich mich beziehe wurde aber explizit erwähnt das das die Lücke auch bei eigentlich deaktiviertem JS ausgenutzt werden kann. Der fehlt mir im verlinkten Artikel.

 

[mj]

Passend zu diesem Thema hab ich gestern folgendes entdeckt: Why do they think it's ok?. Bezieht sich zwar auf Firefox, die Problematik ist aber die gleiche.