2017-0738: Mozilla Thunderbird: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2017-05-02 14:21): Neues Advisory
Version 2 (2017-05-05 12:26): Für Fedora 25 und 26 steht Thunderbird in der Version 52.1.0 als Sicherheitsupdate im Status 'testing' bereit.
Version 3 (2017-05-08 12:24): Für openSUSE Leap 42.1 und openSUSE Leap 42.2 steht Mozilla Thunderbird in der Version 52.1.0 als Sicherheitsupdate bereit. Zusätzlich zu den im Mozilla Foundation Security Advisory MFSA-2017-13 beschriebenen Schwachstellen werden auch die Schwachstellen aus dem Mozilla Foundation Security Advisory MFSA-2017-09 adressiert, welche bereits mit der Mozilla Thunderbird Version 52.0 behoben worden waren. Red Hat veröffentlicht für die Red Hat Enterprise Linux 6 und 7 Produkte Desktop, Server und Workstation sowie für Red Hat Enterprise Linux Server Telecommunications Update Service (TUS) 7.3 ebenfalls Sicherheitsupdates auf die Thunderbird Version 52.1.0.
Version 4 (2017-05-16 14:03): Für SUSE Package Hub for SUSE Linux Enterprise 12 steht Mozilla Thunderbird in der Version 52.1.0 als Sicherheitsupdate bereit.
Version 5 (2017-05-17 14:40): Canonical stellt für die Distributionen Ubuntu Linux 14.04 LTS, 16.04 LTS, 16.10 und 17.04 Sicherheitsupdates für Mozilla Thunderbird auf Version 52.1.1 bereit. Im referenzierten Sicherheitshinweis werden die Schwachstellenbezeichner CVE-2017-5437, CVE-2017-10195, CVE-2017-10196 und CVE-2017-10197 falsch verwendet. Die richtigen Bezeichner für die Schwachstellen lauten CVE-2016-10195, CVE-2016-10196 und CVE-2016-10197.
Version 6 (2017-06-20 11:41): Für Fedora 24 wurde ein Sicherheitsudpate auf die neuere Thunderbird Version 52.2 veröffentlicht, welches sich im Status 'testing' befindet (siehe auch der gesonderte Sicherheitshinweis). Das ursprüngliche Update FEDORA-2017-7a0e2d58f8 (Thunderbird 52.1) wurde in den Status 'obsolete' versetzt (Referenz entfernt).

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in Mozilla Thunderbird und darin verwendeten Bibliotheken können von einem entfernten, nicht authentisierten Angreifer ausgenutzt werden, um Informationen auszuspähen, falsche Informationen darzustellen, Cross-Site-Scripting (XSS)- und Denial-of-Service (DoS)-Angriffe durchzuführen sowie beliebigen Programmcode zur Ausführung zu bringen. Einige Schwachstellen erlauben möglicherweise weitere Angriffe, die aber nicht näher spezifiziert sind.

Generell können diese Schwachstellen nicht über E-Mails in Thunderbird ausgenutzt werden, da 'Scripting' beim Lesen von E-Mails deaktiviert ist. Es handelt sich aber um potentielle Risiken in Browsern oder browserähnlichen Kontexten.

Mozilla stellt die Thunderbird Version 52.1 als Sicherheitsupdate zur Behebung der Schwachstellen bereit und kategorisiert das Update trotz obiger Einschränkung als kritisch.

Schwachstellen:

CVE-2016-10195

Schwachstelle in libevent ermöglicht Ausspähen von Informationen und Denial-of-Service-Angriff

CVE-2016-10196

Schwachstelle in libevent ermöglicht Denial-of-Service-Angriff

CVE-2016-10197

Schwachstelle in libevent ermöglicht Ausspähen von Informationen und Denial-of-Service-Angriff

CVE-2016-6354

Schwachstelle in flex ermöglicht Denial-of-Service-Angriff

CVE-2017-5429

Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen Ausführung beliebigen Programmcodes