RCE Schwachstelle in Thunderbird < 91.1/78.14 und Firefox <= 91.1

Wären wir auf einem Raumschiff namens Mozilla, gäbe es jetzt roten Alarm.

RCE Schwachstelle in Thunderbird < 91.1/78.14 und Firefox <= 91.1

Ungefähr 8 Lücken wurden in Firefox und Thunderbird behoben, davon viele mit Schweregrade „hoch“ z.B.

CVE-2021-38495: Memory safety bugs fixed in Thunderbird 91.1

Reporter: Mozilla developers and community
Impact: high
Description: Mozilla developers Tyson Smith and Gabriele Svelto reported memory safety bugs present in Thunderbird 78.13.0 .

und

CVE-2021-38493: Memory safety bugs fixed in Thunderbird 78.14 and Thunderbird 91.1

Reporter: Mozilla developers and community
Impact: high
Description: Mozilla developers Tyson Smith and Gabriele Svelto reported memory safety bugs present in Thunderbird 78.13. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.

In Deutsch zusammengefasst:

  • Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Mozilla Firefox, Mozilla Firefox ESR und Mozilla Thunderbird ausnutzen, um einen Denial of Service Angriff durchzuführen, Sicherheitsmaßnahmen zu umgehen und beliebigen Code zur Ausführung zu bringen.

  •    Mitteilung vom CERT-BUND 8.9.2021

das heißt für Euch: „Updaten! Updaten! Updaten!“ und wo wir bei Raumschiffen waren: „Dies ist keine Übung!

Für Fedora gibt es die noch nicht im Stable befindlichen Versionen hier:

Firefox: https://koji.fedoraproject.org/koji/packageinfo?packageID=37

Thunderbird: https://koji.fedoraproject.org/koji/packageinfo?packageID=39

Quellen:

https://www.mozilla.org/en-US/security/advisories/mfsa2021-38/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-39/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-40/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-41/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-42/

 

Thunderbird 91 kann kein Deutsch mehr

Fedora hat die Thunderbird 91.1 Version am Start ( Testumgebung ) und gut, daß wir das mal Testen konnten, denn Deutsch ist nicht dabei 🙁

Thunderbird 91 kann kein Deutsch mehr

Thunderbird hat ein paar nette Änderungen drin, z.b. highlighten die Ordner mit neuen Emails jetzt mit kleinen gelben Sternchen. Ein bisschen gewöhnungsbedürftig ist das hinzufügen von Attachments zu einer Email, denn das geht jetzt gleichzeitig für „Inline“ und „Attached“ Modus.

„Inline“ meint, daß das das Attachment, wenn es ein Bild ist, im Textteil der Mail zusehen ist. Üblicherweise nennt man das Ergebnis eine HTML-Mail. Um das als Benutzer zu entscheiden, warf man das Bild einfach in die Email, oder in das Attachmentfeld rechts oben. Das geht jetzt nicht mehr. Nun muß man es „LINKS“ für Inline und RECHTS für „Attached“ werfen. Ich habe keine Ahnung, wer sich das ausgedacht hat 🙁

Viel schlimmer als die Attachments ist der Umstand, daß Thunderbird in dem Update auf Englisch in der UI umschaltet, weil die deutsche Sprachdatei fehlt. Die kann man hier finden und nachinstallieren:

https://download-origin.cdn.mozilla.net/pub/thunderbird/releases/91.0/linux-x86_64/xpi/de.xpi

Danach einfach mal im Addon Menü auf „Checking for Updates“ klicken, dann wirds spontan deutsch. Allerdings nur in den Prefs, für den Rest muß man Thunderbird neustarten.

Insgesamt ist das Update brauchbar und sollte nicht zu viele Probleme bereiten. Wer es für Fedora austesten möchte, der wird es von Koji runterladen und direkt installieren müssen:

https://koji.fedoraproject.org/koji/packageinfo?packageID=39

 

Linux am Dienstag – Programm für den 7.9.2021

„Cool … neuer Kernel. Mal sehen was der so kann“ .. Ja, es ist mal wieder Dienstag 😀

Linux am Dienstag – Programm für den 7.9.2021

Bei Linux am Dienstag am 7.9. 2021 geht es ab 19 Uhr u.a. um folgende Themen:

  • Sicherheit – Neue Meltdownschwachstelle in AMD Cpus entdeckt
  • Sicherheit – Solarwindhack über selbst gepatchtes SSH
  • Linux – Kernel 5.14 mit neuen Methoden gegen Spectreattacken
  • CoreCtrl – Seine Hardware regeln
  • Braktooth – Schwachstelle in Bluetooth Implementierungen für IoT

Wie jede Woche per Videokonferenz auf https://meet.cloud-foo.de/Linux .

Kleine Anmerkung: Die bisherigen Vorträge findet man jetzt unter https://linux-am-dienstag.de/archiv/ .