2025-1088: Thunderbird, Thunderbird ESR: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-04-30 17:44)

Neues Advisory

Version 2 (2025-05-02 11:20)

Für Debian 12 Bookworm (stable) steht ein Sicherheitsupdate für 'thunderbird' in Version 1:128.10.0esr-1~deb12u1 zur Verfügung. Auch für Fedora 40, 41 und 42 stehen 'thunderbird-128.10.0-1'-Pakete bereit, um die betreffenden Schwachstellen zu beheben. Das Paket für Fedora 41 ist bereits im Status 'stable, während die beiden anderen sich noch im Status 'testing' befinden.

Version 3 (2025-05-06 10:58)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 9 (x86_64, aarch64) und Oracle Linux 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'thunderbird' bereit, um die betreffenden Schwachstellen zu beheben.

Version 4 (2025-05-08 15:44)

Für openSUSE Leap 15.6, für die SUSE Linux Enterprise Produkte Desktop 15 SP6, Real Time 15 SP6, Server 15 SP6, Server for SAP Applications 15 SP6 und Workstation Extension 15 SP6 sowie für SUSE Package Hub 15 SP6 stehen Sicherheitsupdates für 'MozillaThunderbird' bereit, um die betreffenden Schwachstellen zu beheben.

Version 5 (2025-05-12 18:47)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'thunderbird' bereit, um die betreffenden Schwachstellen zu beheben.

Version 6 (2025-05-13 10:35)

Für Oracle Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'thunderbird' bereit, um die betreffenden Schwachstellen zu beheben.

Version 7 (2025-05-16 09:32)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 in den Versionen 4 years of updates 9.0, 9.2 und 9.4 (x86_64, aarch64) und Extended Update Support 8.8, 9.2 und 9.4 (x86_64, aarch64) sowie Red Hat Enterprise Linux Server in den Versionen AUS 8.2, 8.4 und 8.6 (x86_64) und TUS 8.4, 8.6 und 8.8 (x86_64) stehen Sicherheitsupdates für 'thunderbird' bereit, um die betreffenden Schwachstellen zu beheben.

Betroffene Software

Office

Betroffene Plattformen

Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe durchzuführen und falsche Informationen darzustellen. Ein Angreifer kann eine Schwachstelle lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Die meisten Schwachstellen erfordern zudem die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2025-2817 kann Einfluss auf andere Komponenten haben.

Die Mozilla Foundation informiert über die Schwachstellen, wobei CVE-2025-4084 nur Thunderbird ESR und CVE-2025-4093 nur Thunderbird ESR im Versionszweig 128 betrifft. Außerdem betreffen CVE-2025-4086 und CVE-2025-4090 nur Thunderbird für Android, CVE-2025-4082 nur macOS und CVE-2025-4084 nur Windows-Systeme.

Als Sicherheitsupdates stehen die Thunderbird Version 138 sowie Thunderbird ESR 128.10 zur Verfügung.

Schwachstellen:

CVE-2025-2817

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Privilegieneskalation

CVE-2025-4082

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-4083

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-4084

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-4085

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht u. a. Ausspähen von Informationen

CVE-2025-4086

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2025-4087

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-4088

Schwachstelle in Mozilla Firefox ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2025-4089

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-4090

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2025-4091

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-4092

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-4093

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.