DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-2318: Mozilla Thunderbird: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie

Version 1 (2017-12-27 10:29)
Neues Advisory
Version 2 (2018-01-02 09:47)
Für Debian Jessie (oldstable) 8.10 und Stretch (stable) 9.3 stehen Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Das Update adressiert zusätzlich die Schwachstellen CVE-2017-7826, CVE-2017-7828 und CVE-2017-7830, welche bereits in der offiziellen Thunderbird Version 52.5 behoben wurden. Diese teilweise kritischen Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes durch Ausnutzung von Speicherfehlern und Programmabstürzen sowie das Ausspähen von Informationen.
Version 3 (2018-01-08 10:03)
Red Hat stellt für Red Hat Enterprise Linux 6 und 7 Sicherheitsupdates für Mozilla Thunderbird auf die aktuelle Version 52.5.2 zur Verfügung. Die Updates stehen damit unter anderem für Red Hat Enterprise Linux Server 6, 7, AUS 7.4, EUS 7.4, 4 Year Extended Update Support 7.4 und TUS 7.4, für Red Hat Enterprise Linux Workstation 6 und 7 sowie für Red Hat Enterprise Linux Desktop 6 und 7 bereit. Für Fedora 26 und 27 stehen Sicherheitsupdates auf diese Version im Status 'testing' bereit.
Version 4 (2018-01-09 10:04)
Oracle stellt für Oracle Linux 6 (i386, x86_64) und 7 (x86_64) Sicherheitsupdates auf die Thunderbird Version 52.5.2 zur Behebung der Schwachstellen bereit.

Betroffene Software

Mozilla Thunderbird < 52.5.2

Betroffene Plattformen

SUSE Package Hub for SUSE Linux Enterprise 12
Apple macOS
Debian Linux 8.10 Jessie
Debian Linux 9.3 Stretch
GNU/Linux
Microsoft Windows
openSUSE Leap 42.2
openSUSE Leap 42.3
Oracle Linux 6
Oracle Linux 7
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.4
Red Hat Enterprise Linux Server 7.4 AUS
Red Hat Enterprise Linux Server 7.4 EUS
Red Hat Enterprise Linux Server 7.4 TUS
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 26
Red Hat Fedora 27

Lösung

Patch

Mozilla Foundation Security Advisory MFSA 2017-30: Security vulnerabilities fixed in Thunderbird 52.5.2

Patch

openSUSE Security Update openSUSE-SU-2017:3433-1

Patch

openSUSE Security Update openSUSE-SU-2017:3434-1

Patch

Debian Security Advisory DSA-4075-1

Patch

Fedora Security Update FEDORA-2018-3ec87df5ba (Fedora 26, thunderbird-52.5.2-1.fc26)

Patch

Fedora Security Update FEDORA-2018-4e65ec8cc4 (Fedora 27, thunderbird-52.5.2-1.fc27)

Patch

Red Hat Security Advisory RHSA-2018:0061

Patch

Oracle Linux Security Advisory ELSA-2018-0061

Beschreibung

Mehrere Schwachstellen in Mozilla Thunderbird ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen und die Darstellung falscher Informationen.

Der Hersteller stellt Thunderbird 52.5.2 als Sicherheitsupdate zur Behebung der Schwachstellen bereit. Eine als kritisch eingestufte Schwachstelle betrifft die Darstellung von WebGL-Inhalten auf Windows-Systemen und ist bereits aus vergangenen Sicherheitsupdates für Mozilla Firefox bekannt. Die weiteren Schwachstellen sind zum Teil im Rahmen eines Sicherheitsaudits von unabhängigen Sicherheitsingenieuren aufgedeckt worden. Mit dem neuen Update werden allerdings nicht alle der aufgedeckten Schwachstellen behoben. Eine der jetzt adressierten Schwachstellen ist Teil der Schwachstellensammlung 'Mailsploit'.

Für openSUSE Leap 42.2 und 42.3 sowie für SUSE Package Hub for SUSE Linux Enterprise 12 stehen Sicherheitsupdates für Mozilla Thunderbird auf Version 52.5.2 zur Verfügung.

Schwachstellen

CVE-2017-7848: Schwachstelle in Mozilla Thunderbird ermöglicht Darstellung falscher Informationen

Über bestimmte RSS-Felder lassen sich Zeilenumbrüche in die daraus generierte E-Mail-Struktur injizieren. Ein entfernter, nicht authentisierter Angreifer kann dadurch den E-Mail-Inhalt manipulieren.

CVE-2017-7847: Schwachstelle in Mozilla Thunderbird ermöglicht Ausspähen von Informationen

Über speziell präparierte Cascading Style Sheets (CSS) in RSS-Feeds können lokale Pfadangaben ausgespäht werden. Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um Informationen über den Benutzer der Software auszuspähen. Dazu kann beispielsweise der Benutzername gehören. Bisher ist nicht bekannt, auf welche Weise der Angreifer die Informationen extrahieren kann.

CVE-2017-7846: Schwachstelle in Mozilla Thunderbird ermöglicht Ausführung beliebigen Programmcodes

Wenn RSS-Feeds als Webseite angezeigt werden, wird an entsprechender Stelle injizierter JavaScript-Programmcode von Mozilla Thunderbird ausgeführt. Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe speziell präparierter RSS-Feeds beliebigen JavaScript-Programmcode zur Ausführung bringen.

CVE-2017-7829: Schwachstelle in Mozilla Thunderbird ermöglicht Darstellung falscher Informationen

Falls der Zeichenkette, die für die Darstellung der Absenderadresse einer E-Mail verwendet wird, ein NULL-Zeichen vorangestellt ist, wird die echte Adresse nicht angezeigt. Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle in E-Mail-Programmen ausnutzen, die RFC 1342 (Representation of Non-ASCII Text in Internet Message) umsetzen, um beliebige Absenderadressen darzustellen. Diese Schwachstelle ist als Teil der Schwachstellensammlung 'Mailsploit' bekannt.

CVE-2017-7845: Schwachstelle in Mozilla Firefox, Firefox ESR und Mozilla Thunderbird ermöglicht Ausführung beliebigen Programmcodes

Mit Firefox 52.0.1 und Firefox ESR 52.5.1 wurde eine Regression eingeführt, da innerhalb der Grafikbibliothek ANGLE, die für WebGL verwendet wird, ein falscher Wert an Bedingungsprüfungen übergeben wird. Die kritische Schwachstelle tritt als Pufferüberlauf beim Zeichnen und bei der Validierung von Elementen mit Direct 3D 9 auf, betrifft also nur Windows-Systeme. Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen. Die Schwachstelle betrifft auch Mozilla Thunderbird vor Version 52.5.2.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.