2019-0023: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2019-01-04 14:48)
- Neues Advisory
- Version 2 (2019-01-21 13:18)
- Mit der Veröffentlichung des seit längerem angekündigten Mozilla Foundation Security Advisory 2018-31 wird nun konkret darüber informiert, welche der Schwachstellen in Mozilla Firefox und Firefox ESR auch Thunderbird betreffen, die bei der ursprünglichen Veröffentlichung des Sicherheitsupdates noch nicht bekannt waren. Diese Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen und die Durchführung von Denial-of-Service (DoS)-Angriffen. Grundsätzlich können die Schwachstellen in Mozilla Thunderbird nicht per Email ausgenutzt werden, da das 'Scripting' beim Lesen von E-Mails deaktiviert ist. Die Schwachstellen stellen aber ein potentielles Risiko in Browsern oder Browser-ähnlichen Kontexten dar. Die Kritikalität des zur Verfügung stehenden Sicherheitsupdates auf die Thunderbird Version 60.4.0 wird entsprechend der schwerwiegendsten Schwachstellen von Mozilla als 'critical' angegeben.
- Version 3 (2019-01-25 10:42)
- Red Hat stellt für Red Hat Enterprise Linux 6 und 7 Sicherheitsupdates bereit, mit denen Thunderbird auf Version 60.4.0 aktualisiert wird. Die Updates stehen damit unter anderem für Red Hat Enterprise Linux Desktop, Server und Workstation 6 und 7, Red Hat Enterprise Linux Server AUS, EUS und TUS 7.6 sowie Red Hat Enterprise Linux for ARM 64 7 bereit. Oracle veröffentlicht analog ein Sicherheitsupdate für Oracle Linux 7. Canonical stellt ebenfalls Sicherheitsupdates basierend auf der Version 60.4.0 der Software bereit. Die Updates stehen für Ubuntu 18.10, 18.04 LTS, 16.04 LTS und 14.04 LTS bereit und adressieren zusätzliche Schwachstellen, die bereits mit Thunderbird 60.3 behoben wurden.
- Version 4 (2019-01-28 10:46)
- Für Oracle Linux 6 steht ein Sicherheitsupdate bereit, mit dem Thunderbird auf Version 60.4.0 aktualisiert wird.
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
Beschreibung:
Ein vermutlich entfernter, nicht authentisierten Angreifer kann mehrere nicht veröffentlichte Schwachstellen in Thunderbird vor Version 60.4.0 ausnutzen, um nicht spezifizierte Angriffe durchzuführen. Eventuell kann über eine erfolgreiche Ausnutzung der Schwachstellen zumindest ein Denial-of-Service (DoS)-Zustand bewirkt werden.
Der Hersteller veröffentlicht zum jetzigen Zeitpunkt keinen Sicherheitshinweis über etwaige mittels der Thunderbird Version 60.4.0 behobene Schwachstellen, stellt die entsprechende Version aber zum Download bereit.
Debian stellt für die Distributionen Jessie (LTS) und Stretch (9.6) als Sicherheitsupdates klassifizierte Pakete auf die Thunderbird Version 60.4.0 zur Verfügung und gibt an, dass mittels dieser Updates mehrere Schwachstellen behoben werden, die für die Ausführung beliebigen Programmcodes und die Durchführung von Denial-of-Service (DoS)-Angriffen verwendet werden können.
Für Fedora 28 und 29 stehen Sicherheitsupdates in Form von 'thunderbird-60.4.0-1'-Paketen im Status 'testing' bereit.
Schwachstellen:
CVE-2018-12405
Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen Ausführung beliebigen ProgrammcodesCVE-2018-17466
Schwachstelle in ANGLE ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-18492
Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-18493
Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-18494
Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-18498
Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.