2018-0571: Mozilla Thunderbird: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-03-26 14:55)
- Neues Advisory
- Version 2 (2018-03-27 11:23)
- openSUSE stellt für SUSE Package Hub for SUSE Linux Enterprise 12 und openSUSE Leap 42.3 Sicherheitsupdates auf die Thunderbird Version 52.7 zur Verfügung.
- Version 3 (2018-03-29 11:20)
- Für Fedora 26 und 27 sowie für Debian Jessie (oldstable) und Stretch (stable) stehen Sicherheitsupdates für Thunderbird auf Version 52.7.0 bereit. Die Updates für Fedora 26 und 27 befinden sich im Status 'testing'.
- Version 4 (2018-03-29 18:57)
- Für Ubuntu 17.10, 16.04 LTS und 14.04 LTS stehen Sicherheitsupdates für Thunderbird auf Version 52.7.0 bereit.
- Version 5 (2018-04-06 11:56)
- Red Hat veröffentlicht für die Red Hat Enterprise Linux Produkte Server, Workstation und Desktop in den Versionen 6 und 7 sowie Server 7.4 EUS, 7.4 AUS, 7.4 TUS und Linux 7 for ARM Sicherheitsupdates auf die Thunderbird Version 52.7.0. Oracle stellt ein Update auf Thunderbird 52.7.0 für Oracle Linux 7 (x86_64) zur Behebung der Schwachstellen zur Verfügung.
- Version 6 (2018-04-10 12:37)
- Für Oracle Linux 6 (i386, x86_64) stehen Sicherheitsupdates für Thunderbird auf Version 52.7.0 zur Behebung der Schwachstellen bereit.
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
Beschreibung:
Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR betreffen auch Mozilla Thunderbird und ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes und das Bewirken eines Denial-of-Service-Zustandes.
Grundsätzlich können die Schwachstellen in Mozilla Thunderbird nicht per E-Mail ausgenutzt werden, da das 'Scripting' beim Lesen von E-Mails deaktiviert ist, aber die Schwachstellen stellen ein potentielles Risiko in Browser oder Browser-ähnlichen Kontexten dar. Die Kritikalität des zur Verfügung stehenden Sicherheitsupdates auf die Thunderbird Version 52.7 wird entsprechend der schwerwiegendsten Schwachstellen von Mozilla als 'critical' angegeben.
Schwachstellen:
CVE-2018-5125
Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen ProgrammcodesCVE-2018-5127
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-5129
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausbruch aus der SandboxCVE-2018-5144
Schwachstelle in Mozilla Firefox ESR und Thunderbird ermöglicht vermutlich Denial-of-Service-AngriffCVE-2018-5145
Schwachstellen in Mozilla Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen ProgrammcodesCVE-2018-5146
Schwachstelle in Media Framework ermöglicht Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.