2019-0196: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2019-01-30 17:18)
- Neues Advisory
- Version 2 (2019-02-05 10:32)
- Red Hat veröffentlicht für die Red Hat Enterprise Linux 6 und 7 Produkte Server, Workstation und Desktop sowie for ARM 7, Server EUS 7.6, AUS 7.6 und TUS 7.6 Sicherheitsupdates auf die Thunderbird Version 60.5.0. Für Oracle Linux 6 (x86_64) und Oracle Linux 7 (aarch64, x86_64) stehen ebenfalls Sicherheitsupdates für Thunderbird bereit.
- Version 3 (2019-02-11 11:08)
- Für Fedora 28 und 29 stehen Sicherheitsupdates bereit, mit denen Thunderbird auf Version 60.5.0 aktualisiert wird. Das Sicherheitsupdate für Fedora 28 befindet sich im Status 'testing', das Sicherheitsupdate für Fedora 29 steht im Status 'stable' zur Verfügung.
- Version 4 (2019-02-13 11:50)
- Für SUSE Linux Enterprise Workstation Extension 15 steht ein Sicherheitsupdate auf die Thunderbird Version 60.5 zur Verfügung. In dem referenzierten Sicherheitshinweis listet SUSE auch die Schwachstellen als behoben auf, die bereits mit der Thunderbird Version 60.4 korrigiert wurden, da von SUSE für Workstation Extension 15 kein Update auf die Version 60.4 bereitgestellt wurde. Die Auswirkungen der Schwachstellen im Zuge einer erfolgreichen Ausnutzung entsprechen denen, die auch mit dem Update auf die Thunderbird Version 60.5 behoben wurden.
- Version 5 (2019-02-15 10:13)
- openSUSE veröffentlicht für openSUSE Leap 42.3 ein Sicherheitsupdate auf die Thunderbird Version 60.5. Auch hier werden die Schwachstellen, die bereits mit der Version 60.4 behoben wurden, in der entsprechenden Sicherheitsmeldung von openSUSE referenziert.
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
Beschreibung:
Ein entfernter, nicht authentisierten Angreifer kann mehrere Schwachstellen in Thunderbird vor Version 60.5.0 ausnutzen, um beliebigen Programmcode auszuführen, Sicherheitsvorkehrungen zu umgehen oder einen Denial-of-Service (DoS)-Angriff durchzuführen.
Die Kritikalität wird entsprechend der schwerwiegendsten Schwachstellen von Mozilla als 'critical' angegeben.
Grundsätzlich können die Schwachstellen in Mozilla Thunderbird nicht per Email ausgenutzt werden, da das 'Scripting' beim Lesen von E-Mails deaktiviert ist. Die Schwachstellen stellen aber ein potentielles Risiko in Browsern oder Browser-ähnlichen Kontexten dar.
Der Hersteller stellt Thunderbird 60.5.0 als Sicherheitsupdate zur Behebung der Schwachstellen über die eigene Webseite zur Verfügung.
Schwachstellen:
CVE-2016-5824
Schwachstelle in Libical ermöglicht Denial-of-Service-AngriffCVE-2018-18500
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-18501
Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen ProgrammcodesCVE-2018-18505
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.