2024-2594: Thunderbird: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2024-10-02 16:30): Neues Advisory
Version 2 (2024-10-04 12:27): Für Oracle Linux 9 und Red Hat Enterprise Linux 9 stehen Sicherheitsupdates auf Basis von Thunderbird 128.3.0 bereit, mit denen die Schwachstellen adressiert werden.
Version 3 (2024-10-07 10:49): Für Red Hat Enterprise Linux for x86_64 / ARM 64 8 (x86_64, aarch64) steht ein Sicherheitsupdate auf Basis von Thunderbird 128.3.0 bereit, um die betreffenden Schwachstellen zu beheben.
Version 4 (2024-10-08 09:25): Für Oracle Linux 8 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates auf Basis von Thunderbird 128.3.0 bereit, mit denen die Schwachstellen adressiert werden.
Version 5 (2024-10-09 11:47): Für Fedora 40 steht das Paket 'thunderbird-128.3.0-1.fc40' im Status 'testing' als Sicherheitsupdate bereit.
Version 6 (2024-10-09 17:37): Für Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.2 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 9.2 (x86_64) sowie Red Hat Enterprise Linux for ARM 64 - 4 years of updates 9.0 und 9.2 (aarch64) stehen Sicherheitsupdates auf Basis von Thunderbird 128.3.0 bereit, um die betreffenden Schwachstellen zu beheben.
Version 7 (2024-10-10 09:14): Für Red Hat Enterprise Linux Server - AUS 8.2 und 8.4 (x86_64) sowie Red Hat Enterprise Linux Server - TUS 8.4 (x86_64) stehen Sicherheitsupdates auf Basis von Thunderbird 128.3.0 bereit, um die betreffenden Schwachstellen zu beheben.
Version 8 (2024-10-11 10:15): Für Fedora 39 und 40 stehen Sicherheitsupdates in Form der Pakete 'thunderbird-128.3.1-1.fc40' und 'thunderbird-115.16.0-1.fc39' im Status 'testing' zur Verfügung.
Version 9 (2024-10-16 17:51): Für Red Hat Enterprise Linux Server - AUS 8.6 (x86_64) und Red Hat Enterprise Linux Server - TUS 8.6 (x86_64) stehen Sicherheitsupdates auf Basis von Thunderbird 128.3.0 bereit, um die betreffenden Schwachstellen zu beheben.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers.

Mozilla hat Sicherheitsupdates in Form von Thunderbird 131 und 128.3 veröffentlicht, welche die Sicherheitslücken adressieren.

Schwachstellen:

CVE-2024-8900

Schwachstelle in Mozilla Firefox ESR und Thunderbird ermöglicht Manipulation von Dateien

CVE-2024-9392

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-9393

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Manipulation von Dateien

CVE-2024-9394

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Manipulation von Dateien

CVE-2024-9396

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-9397

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-9398

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2024-9399

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2024-9400