Follow-Up: Thunderbird 102 mit leichten und schweren Fehlern

Kleines Update für Euch: Die Mozilla Devs dürften jetzt echt was zu knacken haben, denn auch der offizielle 102.2.1 Build von Mozilla hat leider den gleichen Bug und noch ein paar mehr 🙂

Follow-Up: Thunderbird 102 mit leichten und schweren Fehlern

Natürlich ist mir bewußt, daß es am Inhalt des Profils liegt, daß Thunderbird diese Macken zeigt. Ein Safe-Mode ist aber gerade genau dafür da, daß Probleme mit dem Profil umgangen werden können und wenn der dann nicht geht, war er völlig nutzlos 🙂

Mittlerweile habe ich den Devs ein Strace des Startups für ihren eigenen 102.2.1 Build geliefert. Das reguläre Profile von 5.6 GB wurde in den Mozilla TB importiert, damit kein Schaden am regulären Profil entsteht, und war danach nur noch 5 GB groß. Jede Menge Cache und alte Strukturen sind bereinigt worden. Aber es nutzte nichts.

Nach fünfmaligem Neustart mit gesetzter „–safe-mode“ Option und angekoppeltem Strace, kam endlich der Requester hier:Ich wette, er kommt Euch komisch vor .. weil er es ist. Der geht nicht. Nicht nur das das Fenster den Inhalt nicht bedeckt, er funktioniert auch gar nicht 😀

Ich bin mal gespannt wie das weiter geht.

Fedora: Thunderbirdupdate 91.6.2 hängt, ist aber bereit

Das Thunderbird Update für die aktuelle Remote-Code-Execution Schwachstelle ist seit (jetzt) 18h fertig, wird aber nicht an die User ausgeliefert, obwohl es ein Critpath Update ist.

Fedora: Thunderbirdupdate 91.6.2 hängt, ist aber bereit

Wer sich zeitnah schützen will, findet die nötigen Anweisungen hier:

Fedora 34:

sudo dnf update https://kojipkgs.fedoraproject.org//packages/thunderbird/91.6.2/1.fc34/x86_64/thunderbird-91.6.2-1.fc34.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/thunderbird/91.6.2/1.fc34/x86_64/thunderbird-librnp-rnp-91.6.2-1.fc34.x86_64.rpm

Fedora 35:

sudo dnf update https://kojipkgs.fedoraproject.org//packages/thunderbird/91.6.2/1.fc35/x86_64/thunderbird-91.6.2-1.fc35.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/thunderbird/91.6.2/1.fc35/x86_64/thunderbird-librnp-rnp-91.6.2-1.fc35.x86_64.rpm

RCE Schwachstelle in Thunderbird < 91.1/78.14 und Firefox <= 91.1

Wären wir auf einem Raumschiff namens Mozilla, gäbe es jetzt roten Alarm.

RCE Schwachstelle in Thunderbird < 91.1/78.14 und Firefox <= 91.1

Ungefähr 8 Lücken wurden in Firefox und Thunderbird behoben, davon viele mit Schweregrade „hoch“ z.B.

CVE-2021-38495: Memory safety bugs fixed in Thunderbird 91.1

Reporter: Mozilla developers and community
Impact: high
Description: Mozilla developers Tyson Smith and Gabriele Svelto reported memory safety bugs present in Thunderbird 78.13.0 .

und

CVE-2021-38493: Memory safety bugs fixed in Thunderbird 78.14 and Thunderbird 91.1

Reporter: Mozilla developers and community
Impact: high
Description: Mozilla developers Tyson Smith and Gabriele Svelto reported memory safety bugs present in Thunderbird 78.13. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.

In Deutsch zusammengefasst:

  • Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Mozilla Firefox, Mozilla Firefox ESR und Mozilla Thunderbird ausnutzen, um einen Denial of Service Angriff durchzuführen, Sicherheitsmaßnahmen zu umgehen und beliebigen Code zur Ausführung zu bringen.

  •    Mitteilung vom CERT-BUND 8.9.2021

das heißt für Euch: „Updaten! Updaten! Updaten!“ und wo wir bei Raumschiffen waren: „Dies ist keine Übung!

Für Fedora gibt es die noch nicht im Stable befindlichen Versionen hier:

Firefox: https://koji.fedoraproject.org/koji/packageinfo?packageID=37

Thunderbird: https://koji.fedoraproject.org/koji/packageinfo?packageID=39

Quellen:

https://www.mozilla.org/en-US/security/advisories/mfsa2021-38/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-39/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-40/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-41/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-42/