2016-0755: Mozilla Thunderbird, Debian Icedove: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2016-05-11 17:39)
- Neues Advisory
- Version 2 (2016-05-12 13:54)
- Red hat stellt Thunderbird 38.8.0 als Sicherheitsupdate für die Red Hat Enterprise Linux Produkte Desktop 5, 6 und 7, Server 6, 7, AUS 7.2 und EUS 7.2, Workstation 6 und 7 sowie für den Optional Productivity Applications Server 5 bereit und adressiert damit die beiden Schwachstellen CVE-2016-2805 und CVE-2016-2807.
- Version 3 (2016-05-17 11:10)
- Debian stellt für die Distribution Jessie ein Sicherheitsupdate auf die Icedove Version 38.8.0 zur Verfügung, welches die Schwachstellen CVE-2016-1979, CVE-2016-2805 und CVE-2016-2807 behebt.
- Version 4 (2016-05-17 15:27)
- Die Mozilla Foundation stellt mit Mozilla Thunderbird 45.1 ein Sicherheitsupdate bereit, das die Schwachstellen CVE-2016-2804 bis CVE-2016-2807 behebt. Die Schwachstelle CVE-2016-1979 wurde bereits in der Version 45 behoben.
- Version 5 (2016-05-19 14:55)
- Canonical stellt für die Distributionen Ubuntu 16.04 LTS, Ubuntu 15.10, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS Sicherheitsupdates auf Thunderbird 38.8.0 bereit, welche neben den Schwachstellen CVE-2016-2805, CVE-2016-2807 und CVE-2016-1979 auch die Schwachstellen CVE-2016-1938 und CVE-2016-1978 in den Mozilla Network Security Services (NSS) adressieren. Für Fedora 22, 23 und 24 stehen Sicherheitsupdates auf Thunderbird 45.1.0 bereit, die sich derzeit jedoch noch im Status 'pending' befinden.
- Version 6 (2016-06-14 13:25)
- Debian folgt für Icedove den Extended Support Releases (ESR) von Mozilla Thunderbird. Da Mozilla die Unterstützung für die 38.x Serie beendet hat, erfolgt das neueste Sicherheitsupdate für Debian Jessie (stable) und Stretch (testing) zur Behebung der Schwachstelle CVE-2016-2806 auf die Icedove Version 45.1.0.
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in der Browser Engine von Mozilla Firefox, die auch in Mozilla Thunderbird verwendet wird, und in den Mozilla Network Security Services (NSS) ermöglichen einem entfernten, nicht authentifizierten Angreifer die Korrumpierung von Speicher oder Zugriff auf bereits freigegebene Speicherbereiche, wodurch in der Folge möglicherweise beliebiger Programmcode ausgeführt werden kann.
Die Mozilla Foundation stellt mit Mozilla Thunderbird 38.8 ein Sicherheitsupdate bereit, das die Schwachstellen behebt.
Schwachstellen:
CVE-2016-1979
Schwachstelle in Mozilla Firefox ermöglicht Ausführen beliebigen ProgrammcodesCVE-2016-2804
Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen ProgrammcodesCVE-2016-2805
Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen ProgrammcodesCVE-2016-2806
Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen ProgrammcodesCVE-2016-2807
Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.