2020-1866: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-08-27 15:59)

Neues Advisory

Version 2 (2020-08-31 11:07)

Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'thunderbird' in Version 1:68.12.0-1~deb10u1 bereit, um die betreffenden Schwachstellen zu beheben.

Version 3 (2020-08-31 17:11)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'thunderbird' in Version 1:68.12.0-1~deb9u1 bereit, um die betreffenden Schwachstellen zu beheben.

Version 4 (2020-09-07 14:08)

Für Red Hat Enterprise Linux 7 (Server, Workstation, Desktop) stehen Sicherheitsupdates für Thunderbird auf Version 68.12.0 bereit.

Version 5 (2020-09-07 18:28)

Für SUSE Linux Enterprise Workstation Extension 15 SP1 und 15 SP2 stehen Sicherheitsupdates für 'MozillaThunderbird' auf Version 68.12 bereit.

Version 6 (2020-09-08 10:58)

Für Red Hat Enterprise Linux 8, 8.1 EUS und 8.2 EUS sowie Server TUS 8.2 und Server AUS 8.2 stehen Sicherheitsupdates für Thunderbird auf Version 68.12.0 bereit.

Version 7 (2020-09-08 16:21)

Für Red Hat Enterprise Linux 6 (Server, Workstation) stehen Sicherheitsupdates für Thunderbird auf Version 68.12.0 bereit.

Version 8 (2020-09-08 18:25)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'MozillaThunderbird' auf Version 68.12 bereit.

Version 9 (2020-09-08 19:21)

Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'MozillaThunderbird' auf Version 68.12 bereit.

Version 10 (2020-09-09 10:35)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'MozillaThunderbird' auf Version 68.12 bereit.

Version 11 (2020-09-10 10:15)

Für Oracle Linux 6 (i386, x86_64) stehen Sicherheitsupdates für 'MozillaThunderbird' auf Version 68.12 zur Verfügung. Für Fedora 32 steht als Sicherheitsupdate das Paket 'thunderbird-master-3220200909093229.1' bereit, welches sich derzeit noch im Status 'pending' befindet. Hiermit wird Thunderbird ebenfalls auf das Release 68.12.0 aktualisiert.

Version 12 (2020-09-17 11:11)

Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für 'MozillaThunderbird' auf Version 68.12 bereit.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein entfernter Angreifer kann mehrere Schwachstellen ausnutzen, um beliebigen Programmcode auszuführen und in einem Fall auch Privilegien zu eskalieren. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers.

Im Allgemeinen können diese Schwachstellen nicht per E-Mail ausgenutzt werden, weil die Ausführung von Skripten in Thunderbird deaktiviert ist. Sie stellen aber in Browsern und Browser-ähnlichem Kontext ein potentielles Risiko dar.

Der Hersteller informiert über die Schwachstellen und stellt zu deren Behebung die Versionen 68.12 und 78.2 bereit.

Schwachstellen:

CVE-2020-15663

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Privilegieneskalation und Ausführen beliebigen Programmcodes

CVE-2020-15664

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-15669

Schwachstelle in Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-15670

Schwachstellen in Firefox, Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.