Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (31.01.2018):
Für Fedora 26 und 27 stehen Sicherheitsupdates in Form der Pakete
‘thunderbird-52.6.0-1.fc26’ und ‘thunderbird-52.6.0-1.fc27’ im Status
‘testing’ zur Behebung der Schwachstellen bereit. Debian korrigiert die
Schwachstellen mittels Sicherheitsupdates für die stabile Distribution
Stretch und die alte stabile Distribution Jessie über die Thunderbird auf
die Version 52.6 aktualisiert wird.
Version 3 (30.01.2018):
Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 16.04 LTS und
Ubuntu 14.04 LTS Sicherheitsupdates auf die Thunderbird Version 52.6 zur
Behebung der Schwachstellen zur Verfügung. In der referenzierten Security
Notice werden zusätzlich die Schwachstellen als behoben aufgeführt, die
mit der Thunderbird Version 52.5.2 adressiert wurden, da Canonical für
diese Version kein Sicherheitsupdate bereitgestellt hatte.
Version 2 (29.01.2018):
Für openSUSE Leap 42.3 und für SUSE Package Hub for SUSE Linux Enterprise
12 stehen Sicherheitsupdates für Mozilla Thunderbird auf Version 52.6
bereit.
Version 1 (26.01.2018):
Neues Advisory
Betroffene Software:
Mozilla Thunderbird < 52.6 Betroffene Plattformen: SUSE Package Hub for SUSE Linux Enterprise 12 Apple macOS Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.10 Debian Linux 8.10 Jessie Debian Linux 9.3 Stretch GNU/Linux Microsoft Windows openSUSE Leap 42.3 Red Hat Fedora 26 Red Hat Fedora 27 Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR betreffen auch Mozilla Thunderbird und ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes und die Durchführung verschiedener Denial-of-Service-Angriffe. Eine Schwachstelle ermöglicht zudem das Darstellen falscher Informationen. Grundsätzlich können die Schwachstellen in Mozilla Thunderbird nicht per E-Mail ausgenutzt werden, da das 'Scripting' beim Lesen von E-Mails deaktiviert ist, aber die Schwachstellen stellen ein potentielles Risiko in Browser oder Browser-ähnlichen Kontexten dar. Die Kritikalität des zur Verfügung stehenden Sicherheitsupdates auf die Thunderbird Version 52.6 wird entsprechend der schwerwiegendsten Schwachstelle von Mozilla als 'critical' angegeben. Patch: Mozilla Foundation Security Advisory MFSA 2018-04 (Thunderbird) https://www.mozilla.org/en-US/security/advisories/mfsa2018-04/
Patch:
openSUSE Security Update openSUSE-SU-2018:0256-1
http://lists.opensuse.org/opensuse-updates/2018-01/msg00104.html
Patch:
openSUSE Security Update openSUSE-SU-2018:0257-1
http://lists.opensuse.org/opensuse-updates/2018-01/msg00105.html
Patch:
Fedora Security Update FEDORA-2018-74bb00f644 (Fedora 27,
thunderbird-52.6.0-1.fc27)
https://bodhi.fedoraproject.org/updates/FEDORA-2018-74bb00f644
Patch:
Fedora Security Update FEDORA-2018-c7c6160e65 (Fedora 26,
thunderbird-52.6.0-1.fc26)
https://bodhi.fedoraproject.org/updates/FEDORA-2018-c7c6160e65
Patch:
Ubuntu Security Notice USN-3529-1
http://www.ubuntu.com/usn/usn-3529-1/
Patch:
Debian Security Advisory DSA-4102-1
https://www.debian.org/security/2018/dsa-4102
CVE-2018-5117: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Darstellung falscher Informationen
Bei Verwendung der waagerecht linksläufigen Schriftdarstellung in der
Adresszeile (rechts-nach-links) können falsche Adressinformationen
dargestellt werden, falls die URL am linken Rand der Adresszeile
ausgerichtet ist. Ein entfernter, nicht authentisierter Angreifer kann
dadurch falsche Informationen darstellen.
CVE-2018-5104: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Ausführung beliebigen Programmcodes
Die Manipulation von Schriftarten, deren Speicher freigegeben wird, obwohl
sie noch in Benutzung sind, kann zur Verwendung bereits freigegebener
Speicherbereiche führen (Use-after-Free). Ein entfernter, nicht
authentisierter Angreifer kann dadurch die Software zum Absturz bringen und
möglicherweise beliebigen Programmcode ausführen.
CVE-2018-5103: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Ausführung beliebigen Programmcodes
Aufgrund von Problemen mit der Multiprozess-Unterstützung kann es bei der
Verarbeitung von Mouse-Events zur Verwendung bereits freigegebener
Speicherbereiche kommen (Use-after-Free). Ein entfernter, nicht
authentisierter Angreifer kann dadurch die Software zum Absturz bringen und
möglicherweise beliebigen Programmcode ausführen.
CVE-2018-5102: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Ausführung beliebigen Programmcodes
Durch die Manipulation von HTML-Elementen des Typs ‘media’ mit Medienstreams
kann es zur Verwendung bereits freigegebener Speicherbereiche kommen
(Use-after-Free). Ein entfernter, nicht authentisierter Angreifer kann
dadurch die Software zum Absturz bringen und möglicherweise beliebigen
Programmcode ausführen.
CVE-2018-5099: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Ausführung beliebigen Programmcodes
Wenn der Widget Listener eine starke Referenz auf ein bereits freigegebenes
Browserobjekt hält, kann es zur Verwendung bereits freigegebener
Speicherbereiche kommen (Use-after-Free). Ein entfernter, nicht
authentisierter Angreifer kann dadurch die Software zum Absturz bringen und
möglicherweise beliebigen Programmcode ausführen.
CVE-2018-5098: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Ausführung beliebigen Programmcodes
Wenn Eingabelemente für Formulare, hervorgehobene Elemente (Focus) oder
Auswahlfelder in Formularen durch Skripte manipuliert werden, kann es zur
Verwendung bereits freigegebener Speicherbereiche kommen (Use-after-Free).
Ein entfernter, nicht authentisierter Angreifer kann dadurch die Software
zum Absturz bringen und möglicherweise beliebigen Programmcode ausführen.
CVE-2018-5097: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Ausführung beliebigen Programmcodes
Bei XSL-Transformationen kann es zum Zugriff auf bereits freigegebenen
Speicher kommen (Use-after-Free), wenn das Quelldokument während der
Transformation durch Skripte manipuliert wird. Ein entfernter, nicht
authentisierter Angreifer kann die Schwachstelle ausnutzen, um die Anwendung
zum Absturz zu bringen und möglicherweise beliebigen Programmcode
auszuführen.
CVE-2018-5096: Schwachstelle in Mozilla Firefox ESR ermöglicht Ausführung
beliebigen Programmcodes
Während der Bearbeitung von Ereignissen in Formularelementen kann es zum
Zugriff auf bereits freigegebene Speicherbereiche kommen (Use-after-Free).
Ein entfernter, nicht authentisierter Angreifer kann dadurch die Software
zum Absturz bringen und möglicherweise beliebigen Programmcode ausführen.
CVE-2018-5095: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Ausführung beliebigen Programmcodes
Auf Systemen mit mindestens 8 GB RAM kann es zu einem Ganzzahlüberlauf
(Integer Overflow) kommen, wenn Skia Speicher für Edge Builder alloziert.
Ein entfernter, nicht authentisierter Angreifer kann dadurch die Software
zum Absturz bringen und möglicherweise beliebigen Programmcode ausführen.
CVE-2018-5089: Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen
Ausführung beliebigen Programmcodes
Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla
Firefox und Firefox ESR, die zu Speicherfehlern führen können (Memory Safety
Bugs). Dazu können beispielsweise Pufferüberläufe, Fehler bei der
dynamischen Speicherverwaltung, nicht initialisierte Variablen und die
Erschöpfung von Speicher gehören. Der Hersteller geht davon aus, dass einige
der Schwachstellen von einem entfernten, nicht authentifizierten Angreifer
für die Ausführung beliebigen Programmcodes ausgenutzt werden können.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0190/
Schwachstelle CVE-2018-5089 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5089
Schwachstelle CVE-2018-5095 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5095
Schwachstelle CVE-2018-5096 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5096
Schwachstelle CVE-2018-5097 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5097
Schwachstelle CVE-2018-5098 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5098
Schwachstelle CVE-2018-5099 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5099
Schwachstelle CVE-2018-5102 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5102
Schwachstelle CVE-2018-5103 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5103
Schwachstelle CVE-2018-5104 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5104
Schwachstelle CVE-2018-5117 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5117
Mozilla Foundation Security Advisory MFSA 2018-04 (Thunderbird):
https://www.mozilla.org/en-US/security/advisories/mfsa2018-04/
openSUSE Security Update openSUSE-SU-2018:0256-1:
http://lists.opensuse.org/opensuse-updates/2018-01/msg00104.html
openSUSE Security Update openSUSE-SU-2018:0257-1:
http://lists.opensuse.org/opensuse-updates/2018-01/msg00105.html
Fedora Security Update FEDORA-2018-74bb00f644 (Fedora 27,
thunderbird-52.6.0-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-74bb00f644
Fedora Security Update FEDORA-2018-c7c6160e65 (Fedora 26,
thunderbird-52.6.0-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-c7c6160e65
Ubuntu Security Notice USN-3529-1:
http://www.ubuntu.com/usn/usn-3529-1/
Debian Security Advisory DSA-4102-1:
https://www.debian.org/security/2018/dsa-4102
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
