RCE Schwachstelle in Thunderbird < 91.1/78.14 und Firefox <= 91.1

Wären wir auf einem Raumschiff namens Mozilla, gäbe es jetzt roten Alarm.

RCE Schwachstelle in Thunderbird < 91.1/78.14 und Firefox <= 91.1

Ungefähr 8 Lücken wurden in Firefox und Thunderbird behoben, davon viele mit Schweregrade „hoch“ z.B.

CVE-2021-38495: Memory safety bugs fixed in Thunderbird 91.1

Reporter: Mozilla developers and community
Impact: high
Description: Mozilla developers Tyson Smith and Gabriele Svelto reported memory safety bugs present in Thunderbird 78.13.0 .

und

CVE-2021-38493: Memory safety bugs fixed in Thunderbird 78.14 and Thunderbird 91.1

Reporter: Mozilla developers and community
Impact: high
Description: Mozilla developers Tyson Smith and Gabriele Svelto reported memory safety bugs present in Thunderbird 78.13. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.

In Deutsch zusammengefasst:

  • Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Mozilla Firefox, Mozilla Firefox ESR und Mozilla Thunderbird ausnutzen, um einen Denial of Service Angriff durchzuführen, Sicherheitsmaßnahmen zu umgehen und beliebigen Code zur Ausführung zu bringen.

  •    Mitteilung vom CERT-BUND 8.9.2021

das heißt für Euch: „Updaten! Updaten! Updaten!“ und wo wir bei Raumschiffen waren: „Dies ist keine Übung!

Für Fedora gibt es die noch nicht im Stable befindlichen Versionen hier:

Firefox: https://koji.fedoraproject.org/koji/packageinfo?packageID=37

Thunderbird: https://koji.fedoraproject.org/koji/packageinfo?packageID=39

Quellen:

https://www.mozilla.org/en-US/security/advisories/mfsa2021-38/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-39/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-40/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-41/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-42/