2020-2079: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-09-25 11:13)

Neues Advisory

Version 2 (2020-10-02 11:52)

Für Red Hat Enterprise Linux 6, 7, 8, 8.1 und 8.2 stehen Sicherheitsupdates zur Behebung der Schwachstellen in Thunderbird bereit. Die betroffene Software wird damit auf Version 78.3.1 aktualisiert. Thunderbird 78.3.1 wurde veröffentlicht, da es nach dem Update auf Thunderbird 78.3 vermehrt zu Programmabstürzen gekommen ist.

Version 3 (2020-10-05 10:39)

Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'thunderbird' auf Version 78.3.1 bereit.

Version 4 (2020-10-06 10:15)

Für Fedora 31 und 32 stehen Sicherheitsupdates in Form der Pakete 'thunderbird-78.3.1-1.fc31' im Status 'testing' und 'thunderbird-78.3.1-1.fc32' im Status 'stable' zur Verfügung. Das Thunderbird Upgrade auf Version 78.3.0 funktionierte auf einigen Betriebssystemen nicht.

Version 5 (2020-10-07 16:45)

Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'thunderbird' in Version 1:78.3.1-2~deb10u2 bereit, um die Schwachstellen zu beheben.

Version 6 (2020-10-13 16:31)

Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für 'thunderbird' zur Verfügung. Die betroffene Software wird damit auf Version 78.3.1 aktualisiert. Thunderbird 78.3.1 wurde veröffentlicht, da es nach dem Update auf Thunderbird 78.3 vermehrt zu Programmabstürzen gekommen ist.

Version 7 (2020-10-19 09:30)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'thunderbird' in Version 1:78.3.1-2~deb9u1 bereit, um die Schwachstellen zu beheben.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein entfernter Angreifer kann mehrere Schwachstellen ausnutzen, um beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen und falsche Informationen darzustellen. Erfolgreiche Angriffe erfordern die Interaktion eines Benutzers und können in einem Fall Einfluss auf andere Komponenten betroffener Systeme haben.

Im Allgemeinen können diese Schwachstellen nicht per E-Mail ausgenutzt werden, weil die Ausführung von Skripten in Thunderbird deaktiviert ist. Sie stellen aber in Browsern und Browser-ähnlichem Kontext ein potentielles Risiko dar.

Der Hersteller informiert über die Schwachstellen und stellt zu deren Behebung die Version 78.3 bereit.

Schwachstellen:

CVE-2020-15673

Schwachstellen in Firefox, Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-15676

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-15677

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Darstellen falscher Informationen

CVE-2020-15678

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.