2018-0961: Thunderbird: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-05-22 13:41)
- Neues Advisory
- Version 2 (2018-05-25 11:44)
- Für Fedora 26, 27 und 28 stehen Sicherheitsupdates in Form von 'thunderbird-52.8.0-1'-Paketen im Status 'testing' zur Behebung der Schwachstellen bereit. Oracle stellt für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) Sicherheitsupdates auf die Thunderbird Version 52.8.0 zur Verfügung. Red Hat veröffentlicht Sicherheitsupdates für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Server, Workstation und Desktop sowie Server Extended Update Support 7.5 und for ARM 7, um die Schwachstellen zu beheben.
- Version 3 (2018-05-25 16:34)
- Für Debian Jessie (oldstable) 8.10 und Stretch (stable) 9.4 stehen Sicherheitsupdates für Thunderbird auf Version 52.8.0 bereit, um die Schwachstellen zu beheben.
- Version 4 (2018-05-28 12:41)
- Canonical veröffentlicht für die Distributionen Ubuntu 14.04 LTS, Ubuntu 16.04 LTS, Ubuntu 17.10 und Ubuntu 18.04 LTS Sicherheitsupdates auf die Thunderbird Version 52.8 zur Behebung der Schwachstellen.
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
Beschreibung:
Mehrere Schwachstellen in Mozilla Firefox oder Firefox ESR betreffen auch Thunderbird und ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes und das Umgehen von Sicherheitsvorkehrungen. Mehrere weitere Schwachstellen in Thunderbird ermöglichen dem Angreifer das Ausspähen von Informationen aus verschlüsselten Emails, die Darstellung falscher Informationen und die Durchführung eines Denial-of-Service-Angriffs.
Grundsätzlich können die Schwachstellen in Mozilla Thunderbird nicht per Email ausgenutzt werden, da das 'Scripting' beim Lesen von E-Mails deaktiviert ist. Die Schwachstellen stellen aber ein potentielles Risiko in Browsern oder Browser-ähnlichen Kontexten dar. Die Kritikalität des zur Verfügung stehenden Sicherheitsupdates auf die Thunderbird Version 52.8 wird entsprechend der schwerwiegendsten Schwachstellen von Mozilla als 'critical' angegeben.
Der Hersteller behebt mit diesem Sicherheitsupdate auch einige der im Kontext der 'EFAIL'-Schwachstelle öffentlich gewordenen Schwachstellen und stellt in einem Blogbeitrag zusätzliche Informationen zum Umgang mit verschlüsselten Emails in Thunderbird bereit (Referenz anbei).
Für openSUSE Leap 42.3 und 15.0 sowie für SUSE Package Hub for SUSE Linux Enterprise 12 stehen Sicherheitsupdates bereit, mit denen Thunderbird auf Version 52.8 aktualisiert wird.
Schwachstellen:
CVE-2018-5150
Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen ProgrammcodesCVE-2018-5154
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-5155
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-5159
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-5161
Schwachstelle in Thunderbird ermöglicht Denial-of-Service-AngriffCVE-2018-5162
Schwachstelle in Thunderbird ermöglicht Ausspähen von InformationenCVE-2018-5168
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-5170
Schwachstelle in Thunderbird ermöglicht Darstellung falscher InformationenCVE-2018-5174
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-5178
Schwachstelle in Mozilla Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-5183
Schwachstelle in Mozilla Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-5184
Schwachstelle in Thunderbird ermöglicht Ausspähen von InformationenCVE-2018-5185
Schwachstelle in Thunderbird ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.