2020-1648: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-07-28 19:57)

Neues Advisory

Version 2 (2020-07-31 11:28)

Mehrere der Schwachstellen betreffen auch Thunderbird 68. Hier steht die Version 68.11 als Sicherheitsupdate bereit. Die beiden Versionszweige 68 und 78 werden in Anlehnung an die Veröffentlichungspläne für Firefox ESR voraussichtlich noch bis September parallel weiterentwickelt.

Version 3 (2020-08-03 11:13)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'thunderbird' auf Version 1:68.11.0-1~deb9u1 bereit, um die Schwachstellen zu beheben.

Version 4 (2020-08-03 14:49)

Für Debian 10 Buster steht ein Sicherheitsupdate für 'thunderbird' auf Version 1:68.11.0-1~deb10u1 bereit, um die Schwachstellen zu beheben.

Version 5 (2020-08-06 17:19)

Für Red Hat Enterprise Linux 7 (Server, Workstation, Desktop) und Red Hat Enterprise Linux 8 unter anderem in den Produktvarianten Red Hat Enterprise Linux for x86_64 / ARM 64 8, Red Hat Enterprise Linux for x86_64 - Extended Update Support 8.1 und Red Hat Enterprise Linux for x86_64 / ARM 64 Extended Update Support 8.2 sowie Red Hat Enterprise Linux Server - AUS / TUS 8.2 (x86_64) stehen Sicherheitsupdates für 'thunderbird' bereit.

Version 6 (2020-08-07 10:16)

Für Red Hat Enterprise Linux 6 (Server, Workstation, Desktop) (x86_64, i386) und Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'thunderbird' bereit.

Version 7 (2020-08-07 15:58)

Für Oracle Linux 7 steht ein Sicherheitsupdate bereit, mit dem Thunderbird auf Version 68.11.0 aktualisiert wird.

Version 8 (2020-08-10 11:47)

Für Oracle Linux 6 (i386, x86_64) stehen Sicherheitsupdates bereit, mit denen Thunderbird auf Version 68.11.0 aktualisiert wird.

Version 9 (2020-08-10 18:09)

Für SUSE Linux Enterprise Workstation Extension 15 SP1 und 15 SP2 stehen Sicherheitsupdates für 'MozillaThunderbird' bereit, mit denen Mozilla Thunderbird auf Version 68.11 aktualisiert wird.

Version 10 (2020-08-11 16:31)

Für Fedora 31 und 32 stehen Sicherheitsupdates in Form der Pakete 'thunderbird-68.11.0-1.fc31' und 'thunderbird-68.11.0-1.fc32' bereit, welche sich derzeit noch im Status 'pending' befinden. Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'MozillaThunderbird' zur Verfügung, mit dem Mozilla Thunderbird auf Version 68.11 aktualisiert wird.

Version 11 (2020-08-17 11:34)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'MozillaThunderbird' zur Verfügung, mit dem Mozilla Thunderbird auf Version 68.11 aktualisiert wird.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten Angreifer mit Hilfe speziell präparierter Webinhalte oder Programmerweiterungen die Ausführung beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen und das Ausspähen von Informationen, die Darstellung falscher Informationen sowie weitere, nicht spezifizierte Angriffe. Die meisten der Schwachstellen erfordern eine Benutzerinteraktion. Eine der Schwachstellen kann nur von einem lokalen Angreifer mit üblichen Benutzerrechten auf Windows-Systemen ausgenutzt werden.

Im Allgemeinen können diese Schwachstellen nicht per E-Mail ausgenutzt werden, weil die Ausführung von Skripten in Thunderbird deaktiviert ist. Sie stellen aber in Browsern und Browser-ähnlichem Kontext ein potentielles Risiko dar.

Der Hersteller informiert über die Schwachstellen und empfiehlt zu deren Behebung ein Update von Thunderbird auf die Version 78.1.

Schwachstellen:

CVE-2020-15652

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2020-15653

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-15654

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Darstellung falscher Informationen

CVE-2020-15655

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-15656

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht nicht spezifizierte Angriffe

CVE-2020-15657

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-15658

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Darstellung falscher Informationen

CVE-2020-15659

Schwachstellen in Firefox und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-6463

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-6514

Schwachstelle in Google Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.