Und gleich nach Firefox zieht Mozilla mit der (vermutlich) gleichen Schwachstelle in Thunderbird nach: Remote-Code-Execution in Version < 68.4.1
Remote-Code-Execution in Thunderbird
Wie wir gerade vom CERT erfahren haben, ist in Thunderbird eine Sicherheitslücke enthalten, die zum Ausführen von Code aus der Ferne taugt. Mozilla schreibt dazu:
CVE-2019-17024: Memory safety bugs fixed in Thunderbird 68.4.1
- Reporter Mozilla developers
- Impact high
Description
Mozilla developers Jason Kratzer, Christian Holler, and Bob Clary reported memory safety bugs present in Thunderbird 68.3. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
References Memory safety bugs fixed in Thunderbird 68.4.1
Eine weitere kritische Sicherheitslücke wurden auch gefunden, auch wenn diese nicht per Email ausgenutzt werden kann:
- Announced January 10, 2020
- Impact critical
- Products Thunderbird
- Fixed in Thunderbird 68.4.1
In general, these flaws cannot be exploited through email in the Thunderbird product because scripting is disabled when reading mail, but are potentially risks in browser or browser-like contexts.
#CVE-2019-17026: IonMonkey type confusion with StoreElementHole and FallibleStoreElement
- Reporter Qihoo 360 ATA
- Impact critical
Description Incorrect alias information in IonMonkey JIT compiler for setting array elements could lead to a type confusion. We are aware of targeted attacks in the wild abusing this flaw.
References Bug 1607443
Offensichtlich nutzen Angreifer das bereits aus, weil der gleiche Bug auch in Firefox drin war. Wie das genau dann passiert, kann ich mir allerdings auch nur schwer vorstellen.
Derzeit werden die nötigen Pakete bei Fedora noch gebaut! Es gibt also noch keine Updates, die man einspielen könnte für Euch. Andere Distributionen waren da ggf. schneller.
Update
Hier Eure Downloadlinks: