2020-1186: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-06-04 18:46)

Neues Advisory

Version 2 (2020-06-10 19:00)

Für Fedora 31 und 32 stehen Sicherheitsupdates für Thunderbird auf Version 68.9.0 im Status 'pending' zur Behebung der Schwachstellen zur Verfügung. SUSE veröffentlicht für SUSE Linux Enterprise Workstation Extension 15 SP1 ein Sicherheitsupdate auf Mozilla Thunderbird 68.9.0.

Version 3 (2020-06-12 12:54)

Für Debian 9 Stretch (oldstable) steht die Paketversion 1:68.9.0-1~deb9u1 und für Debian 10 Buster (stable) die Paketversion 1:68.9.0-1~deb10u1 für 'thunderbird' bereit, um die referenzierten Schwachstellen zu beheben.

Version 4 (2020-06-12 17:59)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'thunderbird' auf Version 1:68.9.0-1~deb8u2 bereit, um die Schwachstellen zu beheben.

Version 5 (2020-06-15 13:09)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate bereit, mit dem 'MozillaThunderbird' auf Version 68.9.0 aktualisiert wird.

Version 6 (2020-06-19 14:33)

Für Red Hat Enterprise Linux Workstation 6 steht ein Sicherheitsupdate bereit, mit dem 'thunderbird' auf Version 68.9.0 aktualisiert wird.

Version 7 (2020-06-22 10:09)

Für Red Hat Enterprise Linux 7 (Server, Workstation und Desktop) sowie Oracle Linux 7 jeweils für x86_64-Architekturen stehen Sicherheitsupdates bereit, mit denen 'thunderbird' auf Version 68.9.0 aktualisiert wird.

Version 8 (2020-06-23 17:47)

Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates bereit, mit denen 'thunderbird' auf Version 68.9.0 aktualisiert wird.

Version 9 (2020-07-02 13:58)

Für Red Hat Enterprise Linux EUS 8.1 für x86_64 steht ein Sicherheitsupdate auf die Thunderbird Version 68.9.0 zur Verfügung.

Version 10 (2020-07-08 12:17)

Für Oracle Linux 6 (i386, x86_64) steht in Sicherheitsupdate auf die Thunderbird Version 68.9.0 zur Verfügung.

Version 11 (2020-07-08 18:40)

Für SUSE Linux Enterprise Workstation Extension 15 SP2 steht ein Sicherheitsupdate für MozillaThunderbird auf Version 68.9.0 bereit, um vier Schwachstellen zu beheben.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten Angreifer das Ausführen beliebigen Programmcodes, die Durchführung von Denial-of-Service (DoS)-Angriffen und das Umgehen von Sicherheitsvorkehrungen. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers, um erfolgreich zu sein. Eine weitere Schwachstelle ermöglicht einem lokalen Angreifer mit physischen Zugriff auf das System das Ausspähen von Informationen.

Im Allgemeinen können diese Schwachstellen nicht per E-Mail ausgenutzt werden, weil die Ausführung von Skripten in Thunderbird deaktiviert ist. Sie stellen aber in Browsern und Browser-ähnlichem Kontext ein potentielles Risiko dar.

Der Hersteller stellt Thunderbird 68.9 zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2020-12398

Schwachstelle in Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-12399

Schwachstelle in Mozilla Firefox, Firefox ESR, Thunderbird und Network Security Services (NSS) ermöglicht Ausspähen von Informationen

CVE-2020-12405

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service (DoS)-Angriff

CVE-2020-12406

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-12410

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.