2020-0953: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-05-06 13:40)

Neues Advisory

Version 2 (2020-05-11 10:00)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'thunderbird' auf Version 1:68.8.0-1~deb8u1 bereit, für Debian 9 Stretch (oldstable) auf Version 1:68.8.0-1~deb9u1 und für Debian 10 Buster (stable) auf Version 1:68.8.0-1~deb10u1, um diese Schwachstellen zu beheben.

Version 3 (2020-05-11 14:38)

Für openSUSE Leap 15.1, SUSE Linux Enterprise Workstation Extension 15 SP1 und SP2 sowie SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 SP2 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'MozillaThunderbird' bereit. Die betroffene Software wird damit auf Version 68.8.0 aktualisiert.

Version 4 (2020-05-11 16:00)

Red Hat veröffentlicht für Red Hat Enterprise Linux for x86_64 und for ARM 8, für die Red Hat Enterprise Linux Produkte Extended Update Support 8.1 für x86_64 und für 8.2 jeweils für x86_64 und aarch64, Server AUS und TUS 8.2 x86_64 sowie für Server, Workstation und Desktop 6 und 7 Sicherheitsupdates für Thunderbird auf Version 68.8.0. Die Schwachstelle CVE-2020-12393 wird dabei nicht referenziert.

Version 5 (2020-05-12 10:16)

Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate bereit, mit dem Thunderbird auf Version 68.8.0 aktualisiert wird.

Version 6 (2020-05-13 09:48)

Für Oracle Linux 8 (aarch64, x86_64) steht ein Sicherheitsupdate bereit, mit dem Thunderbird auf Version 68.8.0 aktualisiert wird.

Version 7 (2020-05-18 13:03)

Für Fedora 30 steht ein Sicherheitsupdate in Form des Pakets 'thunderbird-68.8.0-2.fc30' im Status 'testing' bereit.

Version 8 (2020-05-26 19:49)

Canonical stellt für Ubuntu 20.04 LTS, Ubuntu 19.10, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für 'thunderbird' auf Version 68.8.0 bereit.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen in Thunderbird ermöglichen einem entfernten Angreifer das Ausführen beliebigen Programmcodes, das Ausspähen von Informationen, einen Denial-of-Service (DoS)-Angriff und die Darstellung falscher Informationen. Ein erfolgreicher Angriff kann die Interaktion eines Benutzers erfordern.

Im Allgemeinen können diese Schwachstellen nicht per E-Mail ausgenutzt werden, weil die Ausführung von Skripten in Thunderbird deaktiviert ist. Sie stellen aber in Browsern und Browser-ähnlichem Kontext ein potentielles Risiko dar.

Mozilla stellt die Thunderbird Version 68.8 zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2020-12387

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-12392

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2020-12393

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-12395

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-12397

Schwachstelle in Thunderbird ermöglicht Darstellung falscher Informationen

CVE-2020-6831

Schwachstelle in WebRTC ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.