2017-2318: Mozilla Thunderbird: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2017-12-27 11:29)
- Neues Advisory
- Version 2 (2018-01-02 10:47)
- Für Debian Jessie (oldstable) 8.10 und Stretch (stable) 9.3 stehen Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Das Update adressiert zusätzlich die Schwachstellen CVE-2017-7826, CVE-2017-7828 und CVE-2017-7830, welche bereits in der offiziellen Thunderbird Version 52.5 behoben wurden. Diese teilweise kritischen Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes durch Ausnutzung von Speicherfehlern und Programmabstürzen sowie das Ausspähen von Informationen.
- Version 3 (2018-01-08 11:03)
- Red Hat stellt für Red Hat Enterprise Linux 6 und 7 Sicherheitsupdates für Mozilla Thunderbird auf die aktuelle Version 52.5.2 zur Verfügung. Die Updates stehen damit unter anderem für Red Hat Enterprise Linux Server 6, 7, AUS 7.4, EUS 7.4, 4 Year Extended Update Support 7.4 und TUS 7.4, für Red Hat Enterprise Linux Workstation 6 und 7 sowie für Red Hat Enterprise Linux Desktop 6 und 7 bereit. Für Fedora 26 und 27 stehen Sicherheitsupdates auf diese Version im Status 'testing' bereit.
- Version 4 (2018-01-09 11:04)
- Oracle stellt für Oracle Linux 6 (i386, x86_64) und 7 (x86_64) Sicherheitsupdates auf die Thunderbird Version 52.5.2 zur Behebung der Schwachstellen bereit.
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
Beschreibung:
Mehrere Schwachstellen in Mozilla Thunderbird ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen und die Darstellung falscher Informationen.
Der Hersteller stellt Thunderbird 52.5.2 als Sicherheitsupdate zur Behebung der Schwachstellen bereit. Eine als kritisch eingestufte Schwachstelle betrifft die Darstellung von WebGL-Inhalten auf Windows-Systemen und ist bereits aus vergangenen Sicherheitsupdates für Mozilla Firefox bekannt. Die weiteren Schwachstellen sind zum Teil im Rahmen eines Sicherheitsaudits von unabhängigen Sicherheitsingenieuren aufgedeckt worden. Mit dem neuen Update werden allerdings nicht alle der aufgedeckten Schwachstellen behoben. Eine der jetzt adressierten Schwachstellen ist Teil der Schwachstellensammlung 'Mailsploit'.
Für openSUSE Leap 42.2 und 42.3 sowie für SUSE Package Hub for SUSE Linux Enterprise 12 stehen Sicherheitsupdates für Mozilla Thunderbird auf Version 52.5.2 zur Verfügung.
Schwachstellen:
CVE-2017-7829
Schwachstelle in Mozilla Thunderbird ermöglicht Darstellung falscher InformationenCVE-2017-7845
Schwachstelle in Mozilla Firefox, Firefox ESR und Mozilla Thunderbird ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-7846
Schwachstelle in Mozilla Thunderbird ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-7847
Schwachstelle in Mozilla Thunderbird ermöglicht Ausspähen von InformationenCVE-2017-7848
Schwachstelle in Mozilla Thunderbird ermöglicht Darstellung falscher Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.