2020-0059: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2020-01-13 11:46)
- Neues Advisory
- Version 2 (2020-01-14 11:45)
- Für Fedora 30 und 31 stehen Sicherheitsupdates in Form der Pakete 'thunderbird-68.4.1-1.fc30' und 'thunderbird-68.4.1-1.fc31' im Status 'testing' bereit.
- Version 3 (2020-01-15 13:39)
- Für Fedora 31 steht die aktuelle Version über 'thunderbird-master' auch als Flatpak im Status 'testing' zur Verfügung.
- Version 4 (2020-01-17 12:37)
- Red Hat stellt für die Red Hat Enterprise Linux Produkte Server, Workstation und Desktop in Version 6 und 7, Server AUS, EUS und TUS 7.7 sowie Red Hat Enterprise Linux for x86_64 8 und Red Hat Enterprise Linux for x86_64 - Extended Update Support 8.1 Sicherheitsupdates auf die Thunderbird Version 68.4.1 bereit. Für Oracle Linux 7 (aarch64, x86_64) stehen ebenfalls Sicherheitsupdates zur Verfügung.
- Version 5 (2020-01-20 11:34)
- Für Oracle Linux 8 (aarch64, x86_64) sowie für die Debian Distributionen Stretch (oldstable) und Buster (stable) stehen jetzt ebenfalls Sicherheitsupdates für 'thunderbird' auf diese Version zur Verfügung.
- Version 6 (2020-01-20 15:06)
- Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'thunderbird' in Form der Paket-Version 1:68.4.1-1~deb8u1 zur Verfügung.
- Version 7 (2020-01-21 11:02)
- Für SUSE Linux Enterprise Workstation Extension 15 und 15 SP1 stehen Sicherheitsupdates für 'MozillaThunderbird' auf Version 68.4.1 bereit.
- Version 8 (2020-01-23 11:06)
- Für die Distribution openSUSE Leap 15.1 wird Mozilla Thunderbird auf die Version 68.4.1 aktualisiert, um die hier aufgeführten sieben Schwachstellen zu beheben.
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
Beschreibung:
Mehrere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, verschiedene Denial-of-Service (DoS)-Angriffe, das Ausspähen von Informationen und einen Cross-Site-Scripting (XSS)-Angriff.
Im Allgemeinen können diese Schwachstellen nicht per E-Mail ausgenutzt werden, weil die Ausführung von Skripten in Thunderbird deaktiviert ist. Sie stellen aber in Browsern und Browser-ähnlichem Kontext ein potentielles Risiko dar.
Der Hersteller veröffentlicht Thunderbird 68.4.1 als Sicherheitsupdate zur Behebung der Schwachstellen.
Schwachstellen:
CVE-2019-17015
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-AngriffCVE-2019-17016
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2019-17017
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-AngriffCVE-2019-17021
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2019-17022
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Cross-Site-Scripting-AngriffCVE-2019-17024
Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen ProgrammcodesCVE-2019-17026
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.