2018-0190: Mozilla Thunderbird: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-01-26 14:13): Neues Advisory
Version 2 (2018-01-29 10:39): Für openSUSE Leap 42.3 und für SUSE Package Hub for SUSE Linux Enterprise 12 stehen Sicherheitsupdates für Mozilla Thunderbird auf Version 52.6 bereit.
Version 3 (2018-01-30 10:08): Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates auf die Thunderbird Version 52.6 zur Behebung der Schwachstellen zur Verfügung. In der referenzierten Security Notice werden zusätzlich die Schwachstellen als behoben aufgeführt, die mit der Thunderbird Version 52.5.2 adressiert wurden, da Canonical für diese Version kein Sicherheitsupdate bereitgestellt hatte.
Version 4 (2018-01-31 10:57): Für Fedora 26 und 27 stehen Sicherheitsupdates in Form der Pakete 'thunderbird-52.6.0-1.fc26' und 'thunderbird-52.6.0-1.fc27' im Status 'testing' zur Behebung der Schwachstellen bereit. Debian korrigiert die Schwachstellen mittels Sicherheitsupdates für die stabile Distribution Stretch und die alte stabile Distribution Jessie über die Thunderbird auf die Version 52.6 aktualisiert wird.
Version 5 (2018-02-01 15:07): Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Desktop, Workstation und Server, für Red Hat Enterprise Linux for ARM 7 sowie für die Red Hat Enterprise Linux Server 7.4 Editionen Advanced Update Support (AUS), Extended Update Support (EUS), 4 Year Extended Update Support und Telco Update Support (TUS) Sicherheitsupdates auf die Thunderbird Version 52.6.0 zur Behebung der Schwachstellen bereit.
Version 6 (2018-02-02 11:23): Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen jetzt ebenfalls Sicherheitsupdates auf die Thunderbird Version 52.6.0 zur Behebung der Schwachstellen bereit.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR betreffen auch Mozilla Thunderbird und ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes und die Durchführung verschiedener Denial-of-Service-Angriffe. Eine Schwachstelle ermöglicht zudem das Darstellen falscher Informationen.

Grundsätzlich können die Schwachstellen in Mozilla Thunderbird nicht per E-Mail ausgenutzt werden, da das 'Scripting' beim Lesen von E-Mails deaktiviert ist, aber die Schwachstellen stellen ein potentielles Risiko in Browser oder Browser-ähnlichen Kontexten dar. Die Kritikalität des zur Verfügung stehenden Sicherheitsupdates auf die Thunderbird Version 52.6 wird entsprechend der schwerwiegendsten Schwachstelle von Mozilla als 'critical' angegeben.