2023-1340: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-06-12 13:46)

Neues Advisory

Version 2 (2023-06-12 15:02)

Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für 'thunderbird' in Version 1:102.12.0-1~deb10u1 bereit, um die referenzierten Schwachstellen zu beheben.

Version 3 (2023-06-13 10:47)

Für Oracle Linux 7 (x86_64, aarch64) steht ein Sicherheitsupdate für 'thunderbird' zur Verfügung, um die Schwachstellen zu beheben.

Version 4 (2023-06-14 10:02)

Für Fedora 38 steht ein Sicherheitsupdate in Form des Pakets 'thunderbird-stable-3820230613115346.1' im Status 'testing' bereit, um die Schwachstellen zu beheben. Thunderbird wird damit auf die Version 102.12.0 aktualisiert.

Version 5 (2023-06-14 11:56)

Für Red Hat Enterprise Linux Server / Workstation / Desktop 7 (x86_64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.6 und 9.0 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS / TUS 8.2 und 8.6 (x86_64) sowie Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.0 (aarch64) stehen Sicherheitsupdates für 'Thunderbird' auf das Release 102.12.0 bereit, um die zwei Schwachstellen zu beheben.

Version 6 (2023-06-14 19:23)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 8 und 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.8 und 9.2 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS / TUS 8.4, TUS 8.8 und AUS 9.2 (x86_64) sowie Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.2 (aarch64) stehen Sicherheitsupdates für 'Thunderbird' auf das Release 102.12.0 bereit, um die zwei Schwachstellen zu beheben.

Version 7 (2023-06-15 10:02)

Oracle veröffentlicht für Oracle Linux 8 (x86_64, aarch64) ein Sicherheitsupdate für 'thunderbird' auf die Version 102.12.0, um die referenzierten Schwachstellen zu beheben.

Version 8 (2023-06-19 11:59)

Für Oracle Linux 9 (x86_64, aarch64) steht ein Sicherheitsupdate für 'thunderbird' auf Version 102.12.0, um die referenzierten Schwachstellen zu beheben.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und einen Clickjacking-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.

Der Hersteller stellt Thunderbird 102.12 als Sicherheitsupdate zur Verfügung.

Für Debian 11 Bullseye (oldstable) steht ein Sicherheitsupdate für 'thunderbird' in Version 1:102.12.0-1~deb11u1 und für Debian 12 Bookworm (stable) in Version 1:102.12.0-1~deb12u1 bereit, um die betreffenden Schwachstellen zu beheben.

Für Fedora 37 und 38 stehen Sicherheitsupdates in Form der Pakete 'thunderbird-102.12.0-1.fc37' und 'thunderbird-102.12.0-1.fc38' im Status 'testing' bzw. 'stable' bereit, um die Schwachstellen zu beheben. Thunderbird wird damit auf die Version 102.12.0 aktualisiert.

Schwachstellen:

CVE-2023-34414

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Clickjacking-Angriff

CVE-2023-34416

Schwachstellen in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.