2018-2028: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-10-05 13:00)
- Neues Advisory
- Version 2 (2018-10-08 12:38)
- openSUSE stellt für die Distributionen openSUSE Leap 42.3 und 15.0 Sicherheitsupdates auf die Thunderbird Version 60.2.1 bereit. Neben den Schwachstellen, die mit dem aktuellen Release behoben werden, referenziert openSUSE in der entsprechenden Sicherheitsmeldung auch ältere Schwachstellen, die schon durch vorhergehende Sicherheitsupdates adressiert wurden.
- Version 3 (2018-10-11 12:01)
- Für Fedora 27 und 28 stehen die Pakete 'thunderbird-60.2.1-2.fc27' und 'thunderbird-60.2.1-2.fc28' als Sicherheitsupdates im Status 'testing' bereit. Das Sicherheitsupdate für Fedora 27 ersetzt damit gleichzeitig das vorherige Sicherheitsupdate FEDORA-2018-3a7916c8b9 ('thunderbird-60.0-1.fc27'), welches in den Status 'obsolete' versetzt wurde.
- Version 4 (2018-10-16 12:45)
- Für Ubuntu 18.04 LTS, 16.04 LTS und 14.04 LTS stehen Sicherheitsupdates für 'thunderbird' auf Version 60.2.1 bereit, welche die Schwachstellen CVE-2018-12376, CVE-2018-12377, CVE-2018-12378, CVE-2018-12383 und CVE-2018-12385 adressieren.
- Version 5 (2018-10-22 12:12)
- SUSE veröffentlicht für SUSE Linux Enterprise Workstation Extension 15 ein Sicherheitsupdate auf die Thunderbird Version 60.2.1. Da SUSE für dieses Produkt bisher für Thunderbird ab Version 60 keine Sicherheitsupdates bereitgestellt hat, werden in der referenzierten Sicherheitsmeldung auch die Schwachstellen in den vorhergehenden Thunderbird Versionen als behoben referenziert.
- Version 6 (2018-10-26 13:30)
- Für Debian Stretch 9.5 (stable) steht ein Sicherheitsupdate für 'thunderbird' auf die Version 1:60.2.1-2~deb9u1 bereit.
- Version 7 (2018-11-01 12:15)
- Red Hat veröffentlicht für die Red Hat Enterprise Linux 6 Produkte Server, Workstation und Desktop Sicherheitsupdates auf die Thunderbird Version 60.2.1 zur Behebung der hier referenzierten Schwachstellen.
- Version 8 (2018-11-05 15:51)
- Für die Red Hat Enterprise Linux (RHEL) 7 Produkte Server, Workstation, Desktop und for ARM sowie für RHEL Server AUS, EUS und TUS 7.6 stehen Sicherheitsupdates für 'thunderbird' auf Version 60.2.1 bereit.
- Version 9 (2018-11-08 11:22)
- Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen in Thunderbird behoben werden.
- Version 10 (2018-11-20 11:57)
- Für Oracle Linux 6 (x86_64) steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen in Thunderbird behoben werden.
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
Beschreibung:
Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR betreffen auch Thunderbird und ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und das Umgehen von Sicherheitsvorkehrungen. Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle im Mozilla Updater ausnutzen, um Informationen auszuspähen.
Grundsätzlich können die Schwachstellen in Mozilla Thunderbird nicht über E-Mail ausgenutzt werden, da die Ausführung von Skript-Programmcode beim Lesen von E-Mails deaktiviert ist. Die Schwachstellen stellen aber ein potentielles Risiko in Browsern oder Browser-ähnlichem Kontext dar.
Der Hersteller stellt Thunderbird 60.2.1 als Sicherheitsupdate zur Behebung der Schwachstellen über die eigene Webseite zur Verfügung. Hierdurch ist auch erstmalig ein offizielles Upgrade von Thunderbird 52 auf den neuen Versionszweig verfügbar.
Schwachstellen:
CVE-2017-16541
Schwachstelle in Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-12376
Schwachstellen in Mozilla Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglichen Ausführung beliebigen ProgrammcodesCVE-2018-12377
Schwachstelle in Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-12378
Schwachstelle in Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-12379
Schwachstelle in Mozilla Updater ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-12383
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2018-12385
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.