2021-0406: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-02-24 13:21)
- Neues Advisory
- Version 2 (2021-02-25 12:00)
- Für Red Hat Enterprise Linux 7, 8, 8.1 EUS und 8.2 EUS stehen Sicherheitsupdates für 'thunderbird' auf Version 78.8.0 bereit, um die Schwachstellen zu beheben.
- Version 3 (2021-02-26 11:21)
- Für Oracle Linux 7 und 8 stehen Sicherheitsupdates für 'thunderbird' auf Version 78.8.0 bereit, um die betreffenden Schwachstellen zu beheben.
- Version 4 (2021-03-02 08:26)
- Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'thunderbird' in Version 1:78.8.0-1~deb9u1 bereit, um die Schwachstellen zu beheben. Für Debian 10 Buster (stable) steht 'thunderbird' in Version 1:78.8.0-1~deb10u1 als Sicherheitsupdate zur Verfügung.
- Version 5 (2021-03-02 09:07)
- Für SUSE Linux Enterprise Workstation Extension 15 SP2 steht ein Sicherheitsupdate für 'MozillaThunderbird' auf Version 78.8 zur Verfügung.
- Version 6 (2021-03-08 09:27)
- Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'MozillaThunderbird' auf Version 78.8 bereit, um die Schwachstellen zu beheben.
- Version 7 (2021-05-07 08:56)
- Canonical stellt für Ubuntu 20.10 und Ubuntu 20.04 LTS ein Sicherheitsupdate für Thunderbird auf Version 78.8.1 zur Verfügung. Mit dieser Version wurde neben den schon mit Thunderbird 78.8.0 adressierten Schwachstellen zusätzlich die Schwachstelle CVE-2021-29950 behoben (siehe Referenzen).
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und Informationen auszuspähen. Alle Schwachstellen erfordern die Interaktion eines Benutzers.
Im Allgemeinen können diese Schwachstellen nicht per E-Mail ausgenutzt werden, weil die Ausführung von Skripten in Thunderbird deaktiviert ist. Sie stellen aber in Browsern und Browser-ähnlichem Kontext ein potentielles Risiko dar.
Die Mozilla Foundation stellt Thunderbird 78.8 als Sicherheitsupdate zur Behebung der Schwachstellen bereit.
Schwachstellen:
CVE-2021-23968
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2021-23969
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2021-23973
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2021-23978
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-29950
Schwachstelle in Thunderbird ermöglicht u. a. Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.