2022-2836: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-12-14 12:33)

Neues Advisory

Version 2 (2022-12-15 09:13)

Für Fedora 36 und 37 stehen Sicherheitsupdates in Form von 'thunderbird-102.6.0-1'-Paketen im Status 'testing' bereit.

Version 3 (2022-12-16 09:45)

Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für 'thunderbird' in Version 1:102.6.0-1~deb10u1 zur Verfügung, um die Schwachstellen zu beheben. Für Red Hat Enterprise Linux Server / Workstation / Desktop 7 (x86_64), Red Hat Enterprise Linux for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.4, 8.6 und 9.0 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 8.2, 8.4 und 8.6 (x86_64), Red Hat Enterprise Linux Server - TUS 8.2, 8.4 und 8.6 (x86_64) sowie Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.0 (aarch64) stehen Sicherheitsupdates für 'thunderbird' auf Version 102.6.0 bereit, womit neben den betreffenden Schwachstellen auch die mit Version 102.5.1 behobene CVE-2022-45414 adressiert wird. Und für Oracle Linux 7 (aarch64, x86_64) stehen zu RHSA-2022:9079 korrespondierende Sicherheitsupdates für 'thunderbird' auf Version 102.6.0 bereit.

Version 4 (2022-12-16 13:10)

Für Oracle Linux 9 (aarch64, x86_64) stehen zu RHSA-2022:9080 korrespondierende Sicherheitsupdates für 'thunderbird' auf Version 102.6.0 bereit.

Version 5 (2022-12-16 15:47)

Für Oracle Linux 8 (aarch64, x86_64) stehen zu RHSA-2022:9074 korrespondierende Sicherheitsupdates für 'thunderbird' auf Version 102.6.0 bereit.

Version 6 (2022-12-19 08:07)

Für Debian 11 Bullseye (stable) steht ein Sicherheitsupdate für 'thunderbird' in Version 1:102.6.0-1~deb11u1 bereit, um die Schwachstellen zu beheben und für Fedora 37 Flatpaks steht ein Sicherheitsupdate in Form des Pakets von 'thunderbird-stable-3720221217163557.1' im Status 'testing' zur Verfügung.

Version 7 (2022-12-20 14:19)

Für SUSE Linux Enterprise Desktop 15 SP4, SUSE Linux Enterprise High Performance Computing 15 SP4, SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP4, SUSE Linux Enterprise Server 15 SP4, SUSE Linux Enterprise Server for SAP Applications 15 SP4, SUSE Linux Enterprise Workstation Extension 15 SP4, SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3, SUSE Manager Server 4.3 sowie openSUSE Leap 15.3 und 15.4 stehen Sicherheitsupdates für 'MozillaThunderbird' auf Version 102.6 bereit, um die Schwachstellen zu beheben.

Version 8 (2022-12-22 09:00)

Mozilla weist darauf hin, dass die schwerwiegende Schwachstelle CVE-2022-46874, anders als zunächst angegeben, nicht mit Thunderbird 102.6 behoben wurde, da ein dafür notwendiger für Thunderbird spezifischer Patch bei dieser Version ausgelassen wurde. Als Sicherheitsupdate zur Behebung dieser Schwachstelle steht jetzt Thunderbird 102.6.1 bereit.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Denial-of-Service (DoS)-Angriffe durchzuführen und beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.

Die Schwachstelle CVE-2022-46872 betrifft nur Linux-Systeme und die Schwachstelle CVE-2022-46875 nur macOS-Systeme.

Der Hersteller stellt Thunderbird 102.6 als Sicherheitsupdate zur Verfügung.

Schwachstellen:

CVE-2022-46872

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2022-46874

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2022-46875

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-46878

Schwachstellen in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

CVE-2022-46880

Schwachstelle in Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2022-46881

Schwachstelle in Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2022-46882

Schwachstelle in Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.