2020-0523: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2020-03-13 13:02)
- Neues Advisory
- Version 2 (2020-03-17 10:22)
- Für Fedora 31 Flatpaks steht ein Sicherheitsupdate im Status 'testing' bereit, mit dem Thunderbird auf Version 68.6.0 aktualisiert wird.
- Version 3 (2020-03-20 10:17)
- Für Red Hat Enterprise Linux 7, Oracle Linux 7 und SUSE Linux Enterprise Workstation Extension 15 SP1 stehen Sicherheitsupdates bereit, mit denen Thunderbird auf Version 68.6.0 ESR aktualisiert wird.
- Version 4 (2020-03-20 12:45)
- Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für Thunderbird auf Version 68.6 zur Behebung der Schwachstellen bereit.
- Version 5 (2020-03-20 17:00)
- Für die Distribution Debian Stretch (oldstable) steht die Version 1:68.6.0-1~deb9u1 und für Debian Buster (stable) die Version 1:68.6.0-1~deb10u1 von 'thunderbird' bereit, um diese Schwachstellen zu beheben.
- Version 6 (2020-03-23 12:29)
- Für die Distribution openSUSE Leap 15.1 steht ein Sicherheitsupdate auf die Thunderbird Version 68.6.0 ESR bereit.
- Version 7 (2020-03-23 14:07)
- Für Red Hat Enterprise Linux Workstation 6 und Red Hat Enterprise Linux 8 stehen Sicherheitsupdates bereit, mit denen Thunderbird auf Version 68.6.0 aktualisiert wird.
- Version 8 (2020-03-24 11:33)
- Für Oracle Linux 8 (x86_64) steht ein Sicherheitsupdate bereit, mit dem Thunderbird auf Version 68.6.0 aktualisiert wird.
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
Beschreibung:
Mehrere Schwachstellen in Thunderbird ermöglichen einem entfernten Angreifer das Ausspähen von Informationen, Durchführen eines Denial-of-Service (DoS)-Angriffs und Ausführen beliebigen Programmcodes. Ein erfolgreicher Angriff erfordert in jedem Fall die Interaktion eines Benutzers.
Im Allgemeinen können diese Schwachstellen nicht per E-Mail ausgenutzt werden, weil die Ausführung von Skripten in Thunderbird deaktiviert ist. Sie stellen aber in Browsern und Browser-ähnlichem Kontext ein potentielles Risiko dar.
Mozilla stellt die Thunderbird Version 68.6 zur Behebung der Schwachstellen zur Verfügung.
Schwachstellen:
CVE-2019-20503
Schwachstelle in usersctplib ermöglicht Denial-of-Service-AngriffCVE-2020-6805
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-6806
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-6807
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-6811
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen ProgrammcodesCVE-2020-6812
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2020-6814
Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.