2021-2124: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-10-13 09:29): Neues Advisory
Version 2 (2021-10-14 13:04): Für Red Hat Enterprise Linux 8 (x86_64, aarch64), 8.1 (x86_64), EUS 8.2 EUS (x86_64, aarch64), 8.4 EUS (x86_64, aarch64). Red Hat Enterprise Linux Server 8.2 AUS / TUS (x86_64), 8.4 AUS / TUS (x86_64) stehen Sicherheitsupdates für 'thunderbird' auf Version 91.2.0 bereit, um die Schwachstellen zu beheben.
Version 3 (2021-10-15 09:56): Für Red Hat Enterprise Linux (Server, Workstation, Desktop) 7 (x86_64) stehen Sicherheitsupdates für 'thunderbird' auf die Thunderbird Version 91.2.0 bereit, um die Schwachstellen zu beheben.
Version 4 (2021-10-15 18:50): Für Oracle Linux 8 steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen adressiert werden. Die betroffene Software wird damit auf Version 91.2.0 aktualisiert.
Version 5 (2021-10-18 11:55): Für Fedora 33 und 34 stehen Sicherheitsupdates in Form der Pakete 'thunderbird-91.2.0-1.fc33' und 'thunderbird-91.2.0-1.fc34' im Status 'testing' bereit, womit ein Update auf die aktuelle Upstream-Version erfolgt.
Version 6 (2021-10-19 20:17): Thunderbird 78.15 wurde anders als bisher angegeben nicht veröffentlicht. Die Webseite zum zugehörigen Sicherheitshinweis MFSA 2021-46 ist nicht mehr erreichbar. Thunderbird 78.15 ist die letzte geplante Version für diesen Versionszweig.
Version 7 (2021-10-25 09:51): Für Oracle Linux 7 steht ein Sicherheitsupdate für 'thunderbird' bereit, um die Schwachstellen zu beheben. Die Software wird damit auf Version 91.2.0 aktualisiert.
Version 8 (2021-11-04 08:39): Canonical stellt für Ubuntu 21.10 ein Sicherheitsupdate für 'thunderbird' bereit, um die Schwachstellen zu beheben. Die Software wird damit auf Version 91.2.1 aktualisiert.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und falsche Informationen darzustellen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers.

Der Hersteller stellt Thunderbird 78.15 und 91.2 als Sicherheitsupdates zur Verfügung.

Schwachstellen:

CVE-2021-32810

Schwachstelle in crossbeam-deque ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2021-38496

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-38497

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2021-38498

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-38500

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

CVE-2021-38501