2017-1029: Mozilla Thunderbird, Icedove: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2017-06-15 12:12): Neues Advisory
Version 2 (2017-06-16 17:40): Für SUSE Package Hub for SUSE Linux Enterprise 12 stehen Sicherheitsupdates auf Thunderbird 52.2 bereit.
Version 3 (2017-06-20 11:46): Für Fedora 24, 25 und 26 stehen Sicherheitsupdates auf die Thunderbird Version 52.2 im Status 'testing' zur Verfügung. Das Sicherheitsupdate FEDORA-2017-7a0e2d58f8 für Fedora 24 (Thunderbird 52.1) wurde in den Status 'obsolete' versetzt.
Version 4 (2017-06-20 16:40): Für openSUSE Leap 42.2 steht Mozilla Thunderbird in der Version 52.2 über ein Sicherheitsupdate für die 'Mozilla based packages' bereit. Zusätzlich wird darin Mozilla Network Security Sevices (NSS) in der Version 3.28.5 bereitgestellt, womit allerdings keine Schwachstellen behoben, sondern nur Bugfixes bereitgestellt werden.
Version 5 (2017-06-21 12:24): Für die Red Hat Enterprise Linux 6 und 7 Produkte Server, Desktop und Workstation sowie für Red Hat Enterprise Linux Server Telco Update Support (TUS) 7.3 steht Thunderbird 52.2.0 als Sicherheitsupdate bereit. Die Schwachstellen CVE-2017-7763 und CVE-2017-7765, welche nur Apple Mac OS X beziehungsweise Microsoft Windows betreffen, werden nicht adressiert.
Version 6 (2017-06-22 11:11): Für Oracle Linux 6 (i386, x86_64) und 7 (x86_64) steht ein Sicherheitsupdate für Mozilla Thunderbird auf Version 52.2.0 bereit.
Version 7 (2017-07-06 11:21): Canonical stellt für die Distributionen Ubuntu 17.04, Ubuntu 16.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates für Thunderbird bereit. Die Schwachstellen CVE-2017-7763 sowie CVE-2017-7765 werden von Canonical allerdings nicht als behoben aufgelistet.
Version 8 (2017-07-27 11:22): Debian stellt für die Distributionen Stretch (stable) und Jessie (oldstable) den Email-Client Icedove in der Version 52.2.1 als Sicherheitsupdate bereit und folgt damit ab sofort dem Versionszweig 52.x von Thunderbird ESR. Die Schwachstellen CVE-2017-7763 und CVE-2017-7765 werden in dem Update nicht erwähnt.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen in Mozilla Thunderbird und darin verwendeten Bibliotheken können von einem entfernten, nicht authentisierten Angreifer ausgenutzt werden, um Sicherheitsvorkehrungen zu umgehen, falsche Informationen darzustellen, Denial-of-Service (DoS)-Angriffe durchzuführen sowie beliebigen Programmcode zur Ausführung zu bringen.

Generell können diese Schwachstellen nicht über E-Mails in Thunderbird ausgenutzt werden, da 'Scripting' beim Lesen von E-Mails deaktiviert ist. Es handelt sich aber um potentielle Risiken in Browsern oder Browser-ähnlichen Kontexten.

Mozilla stellt die Thunderbird Version 52.2 als Sicherheitsupdate zur Behebung der Schwachstellen bereit und kategorisiert das Update trotz obiger Einschränkung als kritisch.

Schwachstellen:

CVE-2017-5470

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen Programmcodes