2016-0457: Mozilla Thunderbird, Debian Icedove: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2016-03-16 11:58)
- Neues Advisory
- Version 2 (2016-03-17 11:20)
- Red Hat stellt für die Produkte RHEL Optional Productivity Applications (v. 5 Server), Red Hat Enterprise Linux Desktop 5 (Client), 6 und 7, Server 6, 7, AUS 7.2, EUS 6.7.z und EUS 7.2 sowie Workstation 6 und 7 Sicherheitsupdates auf die Thunderbird Version 38.7.0 zur Verfügung. In dem Red Hat Security Advisory werden die Schwachstellen CVE-2016-1950 und CVE-2016-1953 nicht aufgeführt.
- Version 3 (2016-03-21 11:35)
- Debian stellt für die Distributionen Wheezy (oldstable) und Jessie (stable) Sicherheitsupdates für Debian Icedove auf Version 38.7.0 bereit, die die aufgeführten Schwachstellen mit Ausnahme von CVE-2016-1952 und CVE-2016-1953 beheben.
- Version 4 (2016-03-24 17:18)
- Für die Distributionen openSUSE Leap 42.1 und openSUSE 13.2 stehen Sicherheitsupdates auf die Thunderbird Version 38.7.0 zur Verfügung. In dem openSUSE Security Advisory werden die Schwachstellen CVE-2016-1950 und CVE-2016-1953 nicht aufgeführt, stattdessen die Schwachstellen CVE-2015-4477 (MFSA 2015-81), CVE-2015-7207 (MFSA 2015-136), CVE-2016-1958 (MFSA 2016-21), CVE-2016-1962 (MFSA 2016-25) und CVE-2016-1965 (MFSA 2016-28), welche allerdings nach den vorliegenden Informationen keine Relevanz für Mozilla Thunderbird haben.
- Version 5 (2016-03-29 11:47)
- Für die Distribution openSUSE 13.1 steht ein Sicherheitsupdate auf die MozillaThunderbird Version 38.7.0 bereit.
- Version 6 (2016-04-28 13:11)
- Canonical stellt für die Distributionen Ubuntu 16.04 LTS, Ubuntu 15.10, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS Sicherheitsupdates auf die Mozilla Thunderbird Version 38.7.2 bereit.
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in Mozilla Thunderbird ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes, auch mit Benutzerrechten, verschiedene Denial-of-Service-Angriffe und das Manipulieren von Dateien.
Mozilla informiert mit Updates auf die Mozilla Foundation Security Advisories 2016-16, 2016-17, 2016-20, 2016-23, 2016-24, 2016-27, 2016-31, 2016-34, 2016-35 und 2016-37 darüber, dass Mozilla Thunderbird von den Schwachstellen betroffen ist. Direkt angreifbar ist Mozilla Thunderbird von den Schwachstellen aus den Mozilla Foundation Security Advisories 2016-16, 2016-35 und 2016-37. Die weiteren Schwachstellen können nicht per Email ausgenutzt werden, stellen aber ein Sicherheitsrisiko in Browsern und Browser ähnlichen Umgebungen dar. Die Mozilla Foundation stellt ein Update auf Mozilla Thunderbird 38.7 bereit, das alle angegebenen Schwachstellen behebt.
Schwachstellen:
CVE-2016-1950
Schwachstelle in NSS / Security ermöglicht Ausführen beliebigen Programmcodes mit BenutzerrechtenCVE-2016-1952
Schwachstellen in Mozilla Firefox ermöglichen Ausführen beliebigen ProgrammcodesCVE-2016-1953
Schwachstellen in Mozilla Firefox ermöglichen Ausführen beliebigen ProgrammcodesCVE-2016-1954
Schwachstelle in Mozilla Firefox ermöglicht Manipulation von DateienCVE-2016-1957
Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-AngriffCVE-2016-1960
Schwachstelle in Mozilla Firefox ermöglicht Ausführen beliebigen ProgrammcodesCVE-2016-1961
Schwachstelle in Mozilla Firefox ermöglicht Ausführen beliebigen ProgrammcodesCVE-2016-1964
Schwachstelle in Mozilla Firefox ermöglicht Ausführen beliebigen ProgrammcodesCVE-2016-1966
Schwachstelle in Mozilla Firefox ermöglicht Ausführen beliebigen ProgrammcodesCVE-2016-1974
Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-AngriffCVE-2016-1977 CVE-2016-2790 CVE-2016-2791 CVE-2016-2792 CVE-2016-2793 CVE-2016-2794 CVE-2016-2795
Schwachstellen in Graphite2 ermöglichen Ausführung beliebigen ProgrammcodesCVE-2016-2796 CVE-2016-2797 CVE-2016-2798 CVE-2016-2799 CVE-2016-2800 CVE-2016-2801 CVE-2016-2802
Schwachstellen in Graphite2 ermöglichen Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.