Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (21.06.2017):
Für die Red Hat Enterprise Linux 6 und 7 Produkte Server, Desktop und
Workstation sowie für Red Hat Enterprise Linux Server Telco Update Support
(TUS) 7.3 steht Thunderbird 52.2.0 als Sicherheitsupdate bereit. Die
Schwachstellen CVE-2017-7763 und CVE-2017-7765, welche nur Apple Mac OS X
beziehungsweise Microsoft Windows betreffen, werden nicht adressiert.
Version 4 (20.06.2017):
Für openSUSE Leap 42.2 steht Mozilla Thunderbird in der Version 52.2 über
ein Sicherheitsupdate für die ‘Mozilla based packages’ bereit. Zusätzlich
wird darin Mozilla Network Security Sevices (NSS) in der Version 3.28.5
bereitgestellt, womit allerdings keine Schwachstellen behoben, sondern nur
Bugfixes bereitgestellt werden.
Version 3 (20.06.2017):
Für Fedora 24, 25 und 26 stehen Sicherheitsupdates auf die Thunderbird
Version 52.2 im Status ‘testing’ zur Verfügung. Das Sicherheitsupdate
FEDORA-2017-7a0e2d58f8 für Fedora 24 (Thunderbird 52.1) wurde in den
Status ‘obsolete’ versetzt.
Version 2 (16.06.2017):
Für SUSE Package Hub for SUSE Linux Enterprise 12 stehen
Sicherheitsupdates auf Thunderbird 52.2 bereit.
Version 1 (15.06.2017):
Neues Advisory
Betroffene Software:
Mozilla Thunderbird < 52.2 Betroffene Plattformen: SUSE Package Hub for SUSE Linux Enterprise 12 Apple Mac OS X macOS Sierra GNU/Linux Microsoft Windows openSUSE Leap 42.2 Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.3 TUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Mehrere Schwachstellen in Mozilla Thunderbird und darin verwendeten Bibliotheken können von einem entfernten, nicht authentisierten Angreifer ausgenutzt werden, um Sicherheitsvorkehrungen zu umgehen, falsche Informationen darzustellen, Denial-of-Service (DoS)-Angriffe durchzuführen sowie beliebigen Programmcode zur Ausführung zu bringen. Generell können diese Schwachstellen nicht über E-Mails in Thunderbird ausgenutzt werden, da 'Scripting' beim Lesen von E-Mails deaktiviert ist. Es handelt sich aber um potentielle Risiken in Browsern oder Browser-ähnlichen Kontexten. Mozilla stellt die Thunderbird Version 52.2 als Sicherheitsupdate zur Behebung der Schwachstellen bereit und kategorisiert das Update trotz obiger Einschränkung als kritisch. Patch: Mozilla Thunderbird Update Seite https://www.mozilla.org/de/thunderbird
Patch:
Mozilla Foundation Security Advisory MFSA 2017-17
https://www.mozilla.org/en-US/security/advisories/mfsa2017-17/
Patch:
openSUSE Security Update openSUSE-SU-2017:1579-1
http://lists.opensuse.org/opensuse-updates/2017-06/msg00052.html
Patch:
Fedora Security Update FEDORA-2017-1dfdb04d62 (Fedora 25,
thunderbird-52.2.0-1.fc25)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-1dfdb04d62
Patch:
Fedora Security Update FEDORA-2017-74999f2a23 (Fedora 26,
thunderbird-52.2.0-1.fc26)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-74999f2a23
Patch:
Fedora Security Update FEDORA-2017-bff00a1c35 (Fedora 24,
thunderbird-52.2.0-1.fc24)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-bff00a1c35
Patch:
openSUSE Security Update openSUSE-SU-2017:1620-1
http://lists.opensuse.org/opensuse-updates/2017-06/msg00072.html
Patch:
Red Hat Security Advisory RHSA-2017:1561
http://rhn.redhat.com/errata/RHSA-2017-1561.html
CVE-2017-7771 CVE-2017-7772 CVE-2017-7773 CVE-2017-7774 CVE-2017-7775
CVE-2017-7776 CVE-2017-7777 CVE-2017-7778: Schwachstellen in Graphite2
ermöglichen Denial-of-Service-Angriffe
In der Graphite2-Bibliothek vor Version 1.3.10, die auch in Mozilla Firefox,
Firefox ESR und Thunderbird enthalten ist, existieren mehrere
Schwachstellen, die es mit Hilfe speziell präparierter Graphite-Schriftarten
ermöglichen durch das Verwenden nicht initialisierten Speichers, dem
Durchführen von Lese- sowie Schreibzugriffen außerhalb gültiger
Speichergrenzen (Out-of-bounds Read/Write, Heap-buffer-overflow Read/Write)
sowie dem Auslösen von Assertions Speicherschutzverletzungen auszulösen,
welche die Anwendung abstürzen lassen (Denial-of-Service). Ein entfernter,
nicht authentisierter Angreifer kann Denial-of-Service (DoS)-Angriffe
durchführen.
CVE-2017-7765: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Umgehen von Sicherheitsvorkehrungen
In Mozilla Firefox, Firefox ESR und Thunderbird für Microsoft
Windows-Betriebssysteme existiert eine Schwachstelle in der ‘Mark of the
Web’-Sicherheitsfunktion, wenn Dateien mit langen Dateinamen aus dem
Internet heruntergeladen werden. Dies hat zur Folge, dass das ‘Mark of the
Web’ nicht korrekt abgespeichert wird, wodurch die Sicherheitswarnung von
Windows vor dem Ausführen ausführbarer Dateien nicht angezeigt wird. Ein
entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen.
CVE-2017-7764: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Darstellen falscher Informationen
Zeichen aus dem ‘Canadian Syllabics’ Unicode-Block können mit Zeichen
anderer Unicode-Blöcke gemischt in der Adresszeile (Adressbar) dargestellt
werden, ohne dass diese in ihrer rohen ‘Punnycode’-Form dargestellt werden.
Dadurch können Domänennamen bewusst falsch dargestellt werden (Spoofing), um
einen Benutzer zu Aktionen im Kontext einer vorgetäuschten Webseite zu
verleiten. Ein entfernter, nicht authentisierter Angreifer kann falsche
Informationen darstellen. Das Verhalten von Firefox und Thunderbird wurde
auf die bevorstehende Unicode Version 10.0 geändert, welche den Unicode
Standard ‘Aspirational Use Scripts’, der unter anderem das Mischen von
‘Canadian Syllabics’-Zeichen mit ‘Latin’-Zeichen in IDN-Profilen erlaubt
hat, nicht mehr zulässt und nun als ‘Limited Use Scripts’ behandelt.
CVE-2017-7763: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Darstellen falscher Informationen
In Apple Mac OS X enthaltene Standard-Schriftarten stellen einige
Tibetan-Zeichen als Leerzeichen dar. Werden diese Zeichen in
internationalisierten Domainnamen (IDN) verwendet, können Domänennamen
bewusst falsch dargestellt werden (Spoofing), um einen Benutzer zu Aktionen
im Kontext einer vorgetäuschten Webseite zu verleiten. Ein entfernter, nicht
authentisierter Angreifer kann die Schwachstelle im Kontext von Mozilla
Firefox, Firefox ESR und Thunderbird ausnutzen, um falsche Informationen
darzustellen.
CVE-2017-7758: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff
Im Opus Encoder in Mozilla Firefox, Firefox ESR und Thunderbird existiert
eine Schwachstelle, die es ermöglicht durch das Wechseln der Kanalanzahl in
einem laufenden Audio-Stream einen Lesezugriff auf Speicherbereiche
außerhalb der gültigen Speichergrenzen durchzuführen (Out-of-bounds Read)
und eine Speicherschutzverletzung auszulösen, welche die Anwendung zum
Absturz bringt. Ein entfernter, nicht authentisierter Angreifer kann einen
Denial-of-Service (DoS)-Angriff durchführen.
CVE-2017-7757: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff
In Mozilla Firefox, Firefox ESR und Thunderbird existiert eine
Use-after-free-Schwachstelle in IndexDB, wenn ein Objekt daraus bereits aus
dem Speicher entfernt wurde, eine Methode darauf aber noch in der Ausführung
ist. Ein entfernter, nicht authentisierter Angreifer kann dies mittels
präparierter Eingaben ausnutzen und einen Absturz der Anwendung provozieren
(Denial-of-Service, DoS).
CVE-2017-7756: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff
In Mozilla Firefox, Firefox ESR und Thunderbird existiert beim Aufzeichnen
(Loggen) von Fehlern aus Kopfdateien für ‘XML HTTP Requests’ (XHR) eine
nicht näher beschriebene Use-after-free- und Use-after-scope-Schwachstelle.
Ein entfernter, nicht authentisierter Angreifer kann dies ausnutzen und
einen Absturz der Anwendung provozieren (Denial-of-Service, DoS).
CVE-2017-7754: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff
In Mozilla Firefox, Firefox ESR und Thunderbird existiert eine nicht näher
beschriebene Schwachstelle bei der Durchführung von WebGL-Operationen,
wodurch es möglich ist mit einem präparierten ‘ImageInfo’-Objekt eine
Leseoperation außerhalb der gültigen Speichergrenzen durchzuführen
(Out-of-Bounds Read) und einen Absturz der Anwendung zu provozieren
(Denial-of-Service). Ein entfernter, nicht authentisierter Angreifer kann
einen Denial-of-Service (DoS)-Angriff durchführen.
CVE-2017-7752: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff
In Mozilla Firefox, Firefox ESR und Thunderbird existiert eine
Use-after-free-Schwachstelle, die aufgrund der Art wie Ereignisse (Events)
behandelt werden während bestimmter Benutzerinteraktionen mit dem Input
Method Editor (IME) bei einigen Sprachen auftreten kann. Ein entfernter,
nicht authentisierter Angreifer kann dies ausnutzen und einen Absturz der
Anwendung provozieren (Denial-of-Service). Für die erfolgreiche Ausnutzung
der Schwachstelle ist eine bestimmte Benutzerinteraktion notwendig.
CVE-2017-7751: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff
In Mozilla Firefox, Firefox ESR und Thunderbird existiert eine nicht näher
beschriebene Use-after-free-Schwachstelle im ‘Content Viewer Listener’, die
ein entfernter, nicht authentisierter Angreifer mit Hilfe präparierter
Eingaben ausnutzen kann, um einen Absturz der Anwendung zu provozieren
(Denial-of-Service, DoS).
CVE-2017-7750: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff
In Mozilla Firefox, Firefox ESR und Thunderbird existiert eine
Use-after-free-Schwachstelle, wenn ein ‘
CVE-2017-7749: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff
In Mozilla Firefox, Firefox ESR und Thunderbird existiert eine
Use-after-free-Schwachstelle, wenn beim erneuten Laden einer ‘Docshell’ eine
falsche URL verwendet wird. Ein entfernter, nicht authentisierter Angreifer
kann dies ausnutzen und einen Absturz der Anwendung provozieren
(Denial-of-Service, DoS).
CVE-2017-5472: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff
In Mozilla Firefox, Firefox ESR und Thunderbird existiert eine
Use-after-free-Schwachstelle im ‘Frameloader’, die während der Erneuerung
des CSS-Layouts beim Rekonstruieren von Baumstrukturen auftritt, wenn dabei
versucht wird einen Knoten (Node) zu verwenden, der nicht mehr existiert.
Ein entfernter, nicht authentisierter Angreifer kann dies ausnutzen und
einen Absturz der Anwendung provozieren (Denial-of-Service, DoS).
CVE-2017-5470: Schwachstellen in Mozilla Firefox, Firefox ESR und
Thunderbird ermöglichen Ausführung beliebigen Programmcodes
Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla
Firefox, Firefox ESR und Thunderbird , die zu Speicherfehlern führen können
(Memory Safety Bugs). Dazu können beispielsweise Pufferüberläufe, Fehler bei
der dynamischen Speicherverwaltung, nicht initialisierte Variablen und die
Erschöpfung von Speicher gehören. Der Hersteller geht davon aus, dass einige
der Schwachstellen von einem entfernten, nicht authentifizierten Angreifer
für die Ausführung beliebigen Programmcodes ausgenutzt werden können.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1029/
Mozilla Thunderbird Update Seite:
https://www.mozilla.org/de/thunderbird
Schwachstelle CVE-2017-5470 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5470
Schwachstelle CVE-2017-5472 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5472
Schwachstelle CVE-2017-7749 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7749
Schwachstelle CVE-2017-7750 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7750
Schwachstelle CVE-2017-7751 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7751
Schwachstelle CVE-2017-7752 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7752
Schwachstelle CVE-2017-7754 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7754
Schwachstelle CVE-2017-7756 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7756
Schwachstelle CVE-2017-7757 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7757
Schwachstelle CVE-2017-7758 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7758
Schwachstelle CVE-2017-7763 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7763
Schwachstelle CVE-2017-7764 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7764
Schwachstelle CVE-2017-7765 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7765
Schwachstelle CVE-2017-7771 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7771
Schwachstelle CVE-2017-7772 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7772
Schwachstelle CVE-2017-7773 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7773
Schwachstelle CVE-2017-7774 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7774
Schwachstelle CVE-2017-7775 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7775
Schwachstelle CVE-2017-7776 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7776
Schwachstelle CVE-2017-7777 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7777
Schwachstelle CVE-2017-7778 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7778
Mozilla Foundation Security Advisory MFSA 2017-17:
https://www.mozilla.org/en-US/security/advisories/mfsa2017-17/
openSUSE Security Update openSUSE-SU-2017:1579-1:
http://lists.opensuse.org/opensuse-updates/2017-06/msg00052.html
Fedora Security Update FEDORA-2017-1dfdb04d62 (Fedora 25,
thunderbird-52.2.0-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-1dfdb04d62
Fedora Security Update FEDORA-2017-74999f2a23 (Fedora 26,
thunderbird-52.2.0-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-74999f2a23
Fedora Security Update FEDORA-2017-bff00a1c35 (Fedora 24,
thunderbird-52.2.0-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-bff00a1c35
openSUSE Security Update openSUSE-SU-2017:1620-1:
http://lists.opensuse.org/opensuse-updates/2017-06/msg00072.html
Mozilla NSS 3.28.5 Release Notes:
https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/NSS_3.28.5_release_notes
Red Hat Security Advisory RHSA-2017:1561:
http://rhn.redhat.com/errata/RHSA-2017-1561.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
