2017-2123: Mozilla Thunderbird: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2017-11-27 13:09)

Neues Advisory

Version 2 (2017-11-28 11:42)

Für SUSE Package Hub for SUSE Linux Enterprise 12 sowie openSUSE Leap 42.2 und 42.3 stehen Sicherheitsupdates auf die Thunderbird Version 52.5.0 ESR bereit.

Version 3 (2017-12-01 17:25)

Für die Distributionen Fedora 25, 26 und 27 stehen Sicherheitsupdates für Thunderbird auf die Version 52.5.0 zur Behebung der Schwachstellen bereit. Die Sicherheitsupdates befinden sich allerdings noch im Status 'pending'. Canonical veröffentlicht Sicherheitsupdates auf die Thunderbird Version 52.5.0 für die Distributionen Ubuntu 14.04 LTS, 16.04 LTS, 17.04 und 17.10.

Version 4 (2017-12-04 10:44)

Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produkte Server, Workstation und Desktop sowie Red Hat Enterprise Linux Server AUS 7.4, EUS 7.4, TUS 7.4 und Red Hat Enterprise Linux for ARM 7 Sicherheitsupdates auf die Thunderbird Version 52.5.0 zur Verfügung.

Version 5 (2017-12-05 10:40)

Oracle stellt für Oracle Linux 6 (i386, x86_64) und 7 (x86_64) Sicherheitsupdates auf die Thunderbird Version 52.5.0 zur Behebung der Schwachstellen zur Verfügung.

Version 6 (2017-12-11 13:06)

Debian stellt für die Distributionen Jessie 8.10 (oldstable) und Stretch 9.3 (stable) Sicherheitsupdates für Thunderbird ESR auf Version 52.5.0 zur Behebung der Schwachstellen zur Verfügung.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Zwei Schwachstellen in Thunderbird ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes (CVE-2017-7826, CVE-2017-7828). Eine weitere Schwachstelle ermöglicht dem Angreifer das Ausspähen von Informationen (CVE-2017-7830).

Generell können diese Schwachstellen nicht über E-Mails in Thunderbird ausgenutzt werden, da 'Scripting' beim Lesen von E-Mails deaktiviert ist. Es handelt sich aber um potentielle Risiken in Browsern oder Browser-ähnlichen Kontexten.

Mozilla stellt die Thunderbird Version 52.5 als Sicherheitsupdate zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2017-7826

Schwachstellen in Mozilla Firefox, Firefox ESR, Thunderbird und Seamonkey ermöglichen Ausführung beliebigen Programmcodes

CVE-2017-7828

Schwachstelle in Mozilla Firefox, Thunderbird und Seamonkey ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-7830

Schwachstelle in Mozilla Firefox, Thunderbird und Seamonkey ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.