2019-1932: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-09-16 13:44): Neues Advisory
Version 2 (2019-09-16 14:52): Für die stabile Debian Distribution Buster (10.0) und die alte stabile Debian Distribution Stretch (9.9) stehen Sicherheitsupdates für 'thunderbird' auf die Version 1:60.9.0-1~deb10u1 bzw. 1:60.9.0-1~deb9u1 bereit.
Version 3 (2019-09-17 15:37): Red Hat veröffentlicht für Red Hat Enterprise Linux 8 ein Sicherheitsupdate für das Paket 'thunderbird', um diese Schwachstellen zu beheben.
Version 4 (2019-09-17 15:55): Für Oracle Linux 7 steht ein Sicherheitsupdate des Pakets 'thunderbird' zur Verfügung.
Version 5 (2019-09-18 16:41): Für Oracle Linux 8 (x86_64) steht ein Sicherheitsupdate des Pakets 'thunderbird' auf Version 60.9.0 zur Verfügung.
Version 6 (2019-09-18 17:23): Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'thunderbird' auf Version 1:60.9.0-1~deb8u1 bereit.
Version 7 (2019-09-19 12:46): Red Hat stellt für die Red Hat Enterprise Linux Produkte Server, Workstation und Desktop in den Versionen 6 und 7 sowie Server AUS, EUS und TUS 7.7 Sicherheitsupdates auf die Thunderbird Version 60.9.0 bereit.
Version 8 (2019-09-19 19:05): Für Oracle Linux 6 (i386, x86_64) stehen Sicherheitsupdates des Pakets 'thunderbird' auf Version 60.9.0 zur Verfügung.
Version 9 (2019-10-09 11:38): Canonical stellt für Ubuntu 19.04, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Backport-Sicherheitsupdates zur Behebung der Schwachstellen in 'thunderbird' bereit.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen in Thunderbird ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen, die Durchführung eines Cross-Site-Scriting (XSS)-Angriffs sowie verschiedener Denial-of-Service (DoS)-Angriffe und möglicherweise die Ausführung beliebigen Programmcodes.

Mozilla informiert über die Schwachstellen und veröffentlicht die Thunderbird Version 68.1.0, um die Schwachstellen zu beheben. Alle Schwachstellen mit Ausnahme von CVE-2019-11743 werden vom Hersteller mit 'high' bewertet. Der Hersteller weist darauf hin, dass die Schwachstellen im Allgemeinen nicht direkt durch das Lesen speziell präparierter E-Mails ausgenutzt werden können, da die Skriptverarbeitung in Thunderbird in diesem Fall deaktiviert ist.

Für Fedora 29, 30 und 31 stehen Sicherheitsupdates für Thunderbird in Form von 'thunderbird-68.1.0-1'-Paketen im Status 'testing' bzw. 'stable' bereit, um die Schwachstellen zu beheben. Für Fedora Modular 30 ist das Paket 'thunderbird-master-3020190912091558.f1d02342' im Status 'unpushed' und für Fedora 30 Flatpaks steht das Paket 'thunderbird-master-3020190912091558.1' im Status 'stable' zur Verfügung. Thunderbird wird damit auf die Version 68.1.0 aktualisiert.

Schwachstellen:

CVE-2019-11739

Schwachstelle in Thunderbird ermöglicht Ausspähen von Informationen

CVE-2019-11740

Schwachstellen in Mozilla Firefox und Thunderbird ermöglichen Ausführung beliebigen Programmcodes

CVE-2019-11742

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2019-11743

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2019-11744

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-11746

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-11752