2023-0394: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-02-16 15:27): Neues Advisory
Version 2 (2023-02-20 09:38): Für Fedora 36 und 37 sowie Fedora 37 Flatpaks stehen Sicherheitsupdates in Form der Pakete 'thunderbird-102.8.0-1.fc36' im Status 'testing' bzw. 'thunderbird-102.8.0-1.fc37' und 'thunderbird-stable-3720230217131322.1' im Status 'stable' bereit, um die Schwachstellen zu beheben. Thunderbird wird damit auf das Release 102.8.0 aktualisiert.
Version 3 (2023-02-21 11:35): Für Red Hat Enterprise Linux Server / Workstation / Desktop 7 (x86_64), Red Hat Enterprise Linux for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.4, 8.6 und 9.0 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 8.2, 8.4 und 8.6 (x86_64), Red Hat Enterprise Linux Server - TUS 8.2, 8.4 und 8.6 (x86_64) sowie Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.0 (aarch64) stehen Sicherheitsupdates für 'thunderbird' auf Version 102.8.0 bereit. Für Oracle Linux 7 (x86_64), Oracle Linux 8 (x86_64, aarch64) sowie Oracle Linux 9 (x86_64, aarch64) stehen die jeweils korrespondierenden Sicherheitsupdates für 'thunderbird' auf Version 102.8.0 zur Verfügung.
Version 4 (2023-03-03 08:57): Für openSUSE Leap 15.4, SUSE Linux Enterprise Desktop 15 SP4, SUSE Linux Enterprise High Performance Computing 15 SP4, SUSE Linux Enterprise Micro 5.3 und 5.4, SUSE Linux Enterprise Server 15 SP4, SUSE Linux Enterprise Server for SAP Applications 15 SP4, SUSE Linux Enterprise Workstation Extension 15 SP4, SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3, SUSE Manager Server 4.3 und SUSE Package Hub 15 SP4 stehen Sicherheitsupdates für 'MozillaThunderbird' bereit, um die Schwachstellen zu beheben. Hiermit wird das Paket auf die Mozilla Thunderbird Version 102.8.0 aktualisiert.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
Container

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen, falsche Informationen darzustellen und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.

Der Hersteller stellt Thunderbird 102.8 als Sicherheitsupdate zur Verfügung.

Schwachstellen:

CVE-2023-0616

Schwachstelle in Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2023-0767

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Manipulation von Dateien

CVE-2023-25728

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2023-25729

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Manipulation von Dateien

CVE-2023-25730

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2023-25732

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-25734

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Ausspähen von Informationen

CVE-2023-25735

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-25737

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht nicht spezifizierte Angriffe

CVE-2023-25738

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2023-25739