2018-2228: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-11-01 12:38): Neues Advisory
Version 2 (2018-11-02 11:23): Für Fedora 27, 28 und 29 stehen Sicherheitsupdates für Mozilla Thunderbird auf die Version 60.3.0 in Form der Pakete 'thunderbird-60.3.0-1.fc27', 'thunderbird-60.3.0-1.fc28' und 'thunderbird-60.3.0-1.fc29' im Status 'pending' bereit, mit denen die Schwachstellen behoben werden
Version 3 (2018-11-07 18:20): Für openSUSE Leap 15.0 und 42.3 stehen Sicherheitsupdates bereit, mit denen Thunderbird auf Version 60.3.0 aktualisiert wird.
Version 4 (2018-11-09 16:57): Für SUSE Package Hub for SUSE Linux Enterprise 12 steht ein Sicherheitsupdate bereit, mit dem Thunderbird auf Version 60.3.0 aktualisiert wird. Durch den dabei erfolgten Versionssprung werden mehrere weitere Schwachstellen behoben, die hier nicht mehr extra aufgeführt sind. Im Sicherheitshinweis spricht openSUSE von einem Update auf Version 60.2.1, dabei handelt es sich vermutlich um einen Tippfehler.
Version 5 (2018-11-09 19:00): Red Hat veröffentlicht für die Red Hat Enterprise Linux 6 und 7 Produkte Server, Workstation, for Scientific Computing, Desktop und for ARM 7 sowie Server AUS, Extended Update Support (EUS) und TUS 7.6 Sicherheitsupdates für Thunderbird auf Version 60.3.0.
Version 6 (2018-11-12 10:46): Für Debian Stretch (stable) steht ein Sicherheitsupdate bereit, mit dem Thunderbird auf Version 60.3.0 aktualisiert wird,
Version 7 (2018-11-12 11:11): Für Oracle Linux 7 (x86_64, aarch64) stehen Sicherheitsupdates bereit, mit denen Thunderbird auf Version 60.3.0 aktualisiert wird.
Version 8 (2018-11-12 12:50): Debian führt ein Upgrade für 'thunderbird' vom Versionszweig 52.x auf 60.x für die LTS Distribution Debian 8.11 Jessie durch und stellt die Version 60.3.0 bereit, durch welche die Schwachstellen CVE-2017-16541, CVE-2018-5156, CVE-2018-5187, CVE-2018-12361, CVE-2018-12367, CVE-2018-12371, CVE-2018-12376, CVE-2018-12377, CVE-2018-12378, CVE-2018-12379, CVE-2018-12383, CVE-2018-12385, CVE-2018-12389, CVE-2018-12390, CVE-2018-12392 und CVE-2018-12393 behoben werden.
Version 9 (2018-11-15 10:19): Für SUSE Linux Enterprise Module for Workstation Extension 15 steht ein Sicherheitsupdate für Thunderbird ESR auf Version 60.3.0 bereit.
Version 10 (2018-11-22 10:41): Für Oracle Linux 6 (x86_64) steht ein Sicherheitsupdate für 'thunderbird' auf Version 60.3.0 bereit.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR betreffen auch Thunderbird und ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen und die Durchführung eines Denial-of-Service (DoS)-Angriffs.

Grundsätzlich können die Schwachstellen in Mozilla Thunderbird nicht per Email ausgenutzt werden, da die Ausführung von Skript-Programmcode beim Lesen von E-Mails deaktiviert ist. Die Schwachstellen stellen aber ein potentielles Risiko in Browsern oder Browser-ähnlichem Kontext dar.

Der Hersteller stellt Thunderbird 60.3.0 als Sicherheitsupdate zur Behebung der Schwachstellen über die eigene Webseite zur Verfügung. Ein offizielles Upgrade von Thunderbird 52 auf den neuen Versionszweig ist ebenfalls verfügbar.

Schwachstellen:

CVE-2018-12389

Schwachstellen in Mozilla Firefox ESR, Tor Browser und Thunderbird ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-12390

Schwachstellen in Mozilla Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-12391

Schwachstelle in Mozilla Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-12392

Schwachstelle in Mozilla Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-12393