2019-1420: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-07-12 14:57)

Neues Advisory

Version 2 (2019-07-15 12:27)

Für Debian Stretch (oldstable) und Buster (stable) stehen Sicherheitsupdates bereit, mit denen Thunderbird auf Version 60.8.0 aktualisiert wird. Die Schwachstellen CVE-2019-11719 und CVE-2019-11729 betreffen nur Debian Stretch, da in Buster auf eine systemweite NSS-Installation zurückgegriffen wird.

Version 3 (2019-07-15 19:09)

Für Red Hat Enterprise Linux 7 stehen Sicherheitsupdates für Thunderbird auf Version 60.8.0 bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS 7.6 und TUS 7.6 sowie RHEL for ARM 64 7 zur Verfügung.

Version 4 (2019-07-16 11:47)

Für Oracle Linux 7 steht ein Sicherheitsupdate bereit, mit dem Thunderbird auf Version 60.8.0 aktualisiert wird.

Version 5 (2019-07-16 12:39)

Für Red Hat Enterprise Linux 6 stehen Sicherheitsupdates bereit, mit denen Thunderbird auf Version 60.8.0 aktualisiert wird. Die Updates stehen damit unter anderem für Red Hat Enterprise Linux Desktop, Server und Workstation 6 zur Verfügung.

Version 6 (2019-07-17 12:07)

Red Hat stellt jetzt auch für Red Hat Enterprise Linux for x86_64 8 ein Sicherheitsupdate auf die Thunderbird Version 60.8.0 zur Verfügung.

Version 7 (2019-07-18 12:28)

Canonical stellt für Ubuntu 19.04, 18.10, 18.04 LTS und 16.04 LTS Sicherheitsupdates zur Behebung der Schwachstellen bereit. Thunderbird wird mit diesen Updates auf Version 60.8.0 aktualisiert.

Version 8 (2019-07-25 11:23)

Für Oracle Linux 6 sowie SUSE Linux Enterprise Workstation Extension 15 und 15 SP1 stehen Sicherheitsupdates zur Behebung der Schwachstellen bereit. Thunderbird wird mit diesen Updates auf Version 60.8.0 aktualisiert. CVE-2019-11719 und CVE-2019-11729 werden im Sicherheitshinweis für Oracle Linux 6 nicht erwähnt.

Version 9 (2019-07-31 12:21)

Für openSUSE Leap 15.0 und 15.1 stehen Sicherheitsupdates bereit, mit denen 'MozillaThunderbird' auf Version 60.8 aktualisiert wird.

Version 10 (2019-08-02 14:31)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate auf die Thunderbird Version 60.8.0 bereit.

Version 11 (2019-08-05 18:55)

Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates auf die Thunderbird Version 60.8.0 zur Verfügung. Zur selben Zeit veröffentlicht Oracle Sicherheitsupdates auf die Thunderbird Versionen 60.6.1, 60.7.0 und 60.7.2 durch die ebenfalls mehrere Schwachstellen adressiert werden. Eine Aktualisierung sollte auf die neuste Thunderbird Version erfolgen.

Version 12 (2019-08-26 13:55)

Für SUSE Package Hub for SUSE Linux Enterprise 12 steht ein Sicherheitsupdate auf die Mozilla Thunderbird Version 60.8.0 zur Verfügung.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, die Durchführung von Cross-Site-Scripting (XSS)-Angriffen, einen Cross-Site-Request-Forgery (CSRF)-Angriff, das Darstellen falscher Informationen, das Ausspähen von Informationen, einen Denial-of-Service (DoS)-Angriff sowie das Umgehen von Sicherheitsvorkehrungen.

Mozilla informiert über die Schwachstellen und veröffentlicht die Thunderbird Version 60.8.0, um die Schwachstellen zu beheben. Einige der genannten Schwachstellen werden vom Hersteller mit 'high' bewertet. CVE-2019-11709 wird von Mozilla als 'critical' bewertet. Der Hersteller weist darauf hin, dass die Schwachstellen im Allgemeinen nicht direkt durch das Lesen speziell präparierter E-Mails ausgenutzt werden können, da die Skriptverarbeitung in Thunderbird in diesem Fall deaktiviert ist.

Für Fedora 29 und 30 stehen Sicherheitsupdates auf die Thunderbird Version 60.8.0 bereit, welche sich derzeit noch im Status 'pending' befinden.

Schwachstellen:

CVE-2019-11709

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen Programmcodes

CVE-2019-11711

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-11712

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2019-11713

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-11715

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-11717

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2019-11719

Schwachstelle in Mozilla Firefox, Firefox ESR, NSS und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2019-11729

Schwachstelle in Mozilla Firefox, Firefox ESR, NSS und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2019-11730

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2019-9811

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.