2017-1476: Mozilla Thunderbird, Debian Icedove: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2017-08-18 19:17)
- Neues Advisory
- Version 2 (2017-08-21 12:39)
- Mozilla hat nun ein offizielles Advisory veröffentlicht, in welchem über die in Thunderbird 52.3 behobenen Schwachstellen informiert wird. Mozilla stuft dieses Sicherheitsupdate trotz der zuvor genannten Einschränkungen als kritisch ein.
- Version 3 (2017-08-24 11:41)
- Für Fedora 25 und 26 stehen Sicherheitsupdates für Mozilla Thunderbird auf Version 52.3.0 im Status 'testing' bereit.
- Version 4 (2017-08-24 13:25)
- Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Desktop, Server und Workstation sowie für die Server 7.4 Produktversionen Extended Update Support (EUS), Advanced Update Support (AUS) und Telco Update Support (TUS) Sicherheitsupdates für Thunderbird auf Version 52.3.0 bereit.
- Version 5 (2017-08-24 19:53)
- Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen nun ebenfalls Sicherheitsupdates für Thunderbird auf Version 52.3.0 bereit.
- Version 6 (2017-09-12 11:15)
- Debian stellt für die alte stabile Distribution Jessie und die stabile Distribution Stretch Sicherheitsupdates auf die Icedove Version 52.3.0 bereit, über welche die aufgeführten Schwachstellen mit Ausnahme der CVE-2017-7782 und CVE-2017-7804 behoben werden.
- Version 7 (2017-09-15 11:12)
- Canonical stellt für Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 17.04 Sicherheitsupdates bereit, mit denen Thunderbird auf die Version 52.3 aktualisiert wird.
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
Beschreibung:
Mehrere Schwachstellen in Mozilla Thunderbird ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, die Darstellung falscher Informationen und verschiedener Denial-of-Service (DoS)-Angriffe.
Generell können diese Schwachstellen nicht über E-Mails in Thunderbird ausgenutzt werden, da 'Scripting' beim Lesen von E-Mails deaktiviert ist. Es handelt sich aber um potentielle Risiken in Browsern oder Browser-ähnlichen Kontexten.
Mozilla stellt die Thunderbird Version 52.3 als Sicherheitsupdate zur Behebung der Schwachstellen bereit, hat aber bislang noch kein entsprechendes Advisory veröffentlicht.
openSUSE stellt für die Distributionen openSUSE Leap 42.2 und openSUSE Leap 42.2 Sicherheitsupdates für Mozilla Thunderbird auf Version 52.3 zur Behebung der Schwachstellen bereit.
Schwachstellen:
CVE-2017-7753
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-AngriffCVE-2017-7779
Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen ProgrammcodesCVE-2017-7782
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-7784
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-AngriffCVE-2017-7785
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Denial-of-Service-AngriffCVE-2017-7786
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-AngriffCVE-2017-7787
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen und Ausspähen von InformationenCVE-2017-7791
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher InformationenCVE-2017-7792
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-AngriffCVE-2017-7800
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-AngriffCVE-2017-7801
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-AngriffCVE-2017-7802
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-AngriffCVE-2017-7803
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-7804
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-7807
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellung falscher InformationenCVE-2017-7809
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.