UPDATE: DFN-CERT-2017-2123 Mozilla Thunderbird: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][Fedora][SuSE][Apple][Windows]

UPDATE: DFN-CERT-2017-2123 Mozilla Thunderbird: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][Fedora][SuSE][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (01.12.2017):
Für die Distributionen Fedora 25, 26 und 27 stehen Sicherheitsupdates für
Thunderbird auf die Version 52.5.0 zur Behebung der Schwachstellen bereit.
Die Sicherheitsupdates befinden sich allerdings noch im Status ‘pending’.
Canonical veröffentlicht Sicherheitsupdates auf die Thunderbird Version
52.5.0 für die Distributionen Ubuntu 14.04 LTS, 16.04 LTS, 17.04 und
17.10.
Version 2 (28.11.2017):
Für SUSE Package Hub for SUSE Linux Enterprise 12 sowie openSUSE Leap 42.2
und 42.3 stehen Sicherheitsupdates auf die Thunderbird Version 52.5.0 ESR
bereit.
Version 1 (27.11.2017):
Neues Advisory

Betroffene Software:

Mozilla Thunderbird < 52.5 Betroffene Plattformen: SUSE Package Hub for SUSE Linux Enterprise 12 Apple macOS Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.04 Canonical Ubuntu Linux 17.10 GNU/Linux Microsoft Windows openSUSE Leap 42.2 openSUSE Leap 42.3 Red Hat Fedora 25 Red Hat Fedora 26 Red Hat Fedora 27 Zwei Schwachstellen in Thunderbird ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes (CVE-2017-7826, CVE-2017-7828). Eine weitere Schwachstelle ermöglicht dem Angreifer das Ausspähen von Informationen (CVE-2017-7830). Generell können diese Schwachstellen nicht über E-Mails in Thunderbird ausgenutzt werden, da 'Scripting' beim Lesen von E-Mails deaktiviert ist. Es handelt sich aber um potentielle Risiken in Browsern oder Browser-ähnlichen Kontexten. Mozilla stellt die Thunderbird Version 52.5 als Sicherheitsupdate zur Behebung der Schwachstellen bereit. Patch: Mozilla Thunderbird Update Seite https://www.mozilla.org/de/thunderbird

Patch:

Mozilla Firefox Security Advisory MFSA 2017-26

https://www.mozilla.org/en-US/security/advisories/mfsa2017-26/

Patch:

openSUSE Security Update openSUSE-SU-2017:3108-1

http://lists.opensuse.org/opensuse-updates/2017-11/msg00085.html

Patch:

openSUSE Security Update openSUSE-SU-2017:3110-1

http://lists.opensuse.org/opensuse-updates/2017-11/msg00087.html

Patch:

Fedora Security Update FEDORA-2017-463cb2af78 (Fedora 26,
thunderbird-52.5.0-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-463cb2af78

Patch:

Fedora Security Update FEDORA-2017-7d33609b3d (Fedora 27,
thunderbird-52.5.0-1.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-7d33609b3d

Patch:

Fedora Security Update FEDORA-2017-e584e3c8a3 (Fedora 25,
thunderbird-52.5.0-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-e584e3c8a3

Patch:

Ubuntu Security Notice USN-3490-1

http://www.ubuntu.com/usn/usn-3490-1/

CVE-2017-7830: Schwachstelle in Mozilla Firefox, Thunderbird und Seamonkey
ermöglicht Ausspähen von Informationen

Die Ressource Timing API von Mozilla Firefox gibt in iframes über
Quellgrenzen hinweg Navigationsinformationen preis (Cross-Origin Information
Leak). Ein entfernter, nicht authentisierter Angreifer kann dadurch
Informationen über das Surfverhalten von Benutzern ausspähen.

CVE-2017-7828: Schwachstelle in Mozilla Firefox, Thunderbird und Seamonkey
ermöglicht Ausführung beliebigen Programmcodes

Unter bestimmten Umständen wird das ‘PressShell’-Objekt freigegeben, während
es noch verwendet wird. Die Schwachstelle kann von einem entfernten, nicht
authentisierten Angreifer mit Hilfe einer speziell präparierten Webseite
ausgenutzt werden, wenn die Layout-Datenstruktur geleert und das Layout in
der Größe verändert wird, um einen ausnutzbaren Absturz des Browsers zu
erzeugen, über den sich beliebiger Programmcode ausführen lässt
(Use-after-Free).

CVE-2017-7826: Schwachstellen in Mozilla Firefox, Firefox ESR, Thunderbird
und Seamonkey ermöglichen Ausführung beliebigen Programmcodes

Mehrere Schwachstellen in Mozilla Firefox 56, Firefox ESR 52.4, Thunderbird
52.4 sowie Seamonkey 2.49.1 können wahrscheinlich mit geringem Aufwand zur
Korruption von Speicher ausgenutzt werden. Ein entfernter, nicht
authentisierter Angreifer kann dadurch beliebigen Programmcode zur
Ausführung bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2123/

Mozilla Thunderbird Update Seite:
https://www.mozilla.org/de/thunderbird

Schwachstelle CVE-2017-7826 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7826

Schwachstelle CVE-2017-7828 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7828

Schwachstelle CVE-2017-7830 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7830

Mozilla Firefox Security Advisory MFSA 2017-26:
https://www.mozilla.org/en-US/security/advisories/mfsa2017-26/

openSUSE Security Update openSUSE-SU-2017:3108-1:
http://lists.opensuse.org/opensuse-updates/2017-11/msg00085.html

openSUSE Security Update openSUSE-SU-2017:3110-1:
http://lists.opensuse.org/opensuse-updates/2017-11/msg00087.html

Fedora Security Update FEDORA-2017-463cb2af78 (Fedora 26,
thunderbird-52.5.0-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-463cb2af78

Fedora Security Update FEDORA-2017-7d33609b3d (Fedora 27,
thunderbird-52.5.0-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-7d33609b3d

Fedora Security Update FEDORA-2017-e584e3c8a3 (Fedora 25,
thunderbird-52.5.0-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-e584e3c8a3

Ubuntu Security Notice USN-3490-1:
http://www.ubuntu.com/usn/usn-3490-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben