RCE Schwachstelle in Thunderbird < 91.1/78.14 und Firefox <= 91.1

Wären wir auf einem Raumschiff namens Mozilla, gäbe es jetzt roten Alarm.

RCE Schwachstelle in Thunderbird < 91.1/78.14 und Firefox <= 91.1

Ungefähr 8 Lücken wurden in Firefox und Thunderbird behoben, davon viele mit Schweregrade „hoch“ z.B.

CVE-2021-38495: Memory safety bugs fixed in Thunderbird 91.1

Reporter: Mozilla developers and community
Impact: high
Description: Mozilla developers Tyson Smith and Gabriele Svelto reported memory safety bugs present in Thunderbird 78.13.0 .

und

CVE-2021-38493: Memory safety bugs fixed in Thunderbird 78.14 and Thunderbird 91.1

Reporter: Mozilla developers and community
Impact: high
Description: Mozilla developers Tyson Smith and Gabriele Svelto reported memory safety bugs present in Thunderbird 78.13. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.

In Deutsch zusammengefasst:

  • Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Mozilla Firefox, Mozilla Firefox ESR und Mozilla Thunderbird ausnutzen, um einen Denial of Service Angriff durchzuführen, Sicherheitsmaßnahmen zu umgehen und beliebigen Code zur Ausführung zu bringen.

  •    Mitteilung vom CERT-BUND 8.9.2021

das heißt für Euch: „Updaten! Updaten! Updaten!“ und wo wir bei Raumschiffen waren: „Dies ist keine Übung!

Für Fedora gibt es die noch nicht im Stable befindlichen Versionen hier:

Firefox: https://koji.fedoraproject.org/koji/packageinfo?packageID=37

Thunderbird: https://koji.fedoraproject.org/koji/packageinfo?packageID=39

Quellen:

https://www.mozilla.org/en-US/security/advisories/mfsa2021-38/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-39/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-40/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-41/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-42/

 

Thunderbird 91 kann kein Deutsch mehr

Fedora hat die Thunderbird 91.1 Version am Start ( Testumgebung ) und gut, daß wir das mal Testen konnten, denn Deutsch ist nicht dabei 🙁

Thunderbird 91 kann kein Deutsch mehr

Thunderbird hat ein paar nette Änderungen drin, z.b. highlighten die Ordner mit neuen Emails jetzt mit kleinen gelben Sternchen. Ein bisschen gewöhnungsbedürftig ist das hinzufügen von Attachments zu einer Email, denn das geht jetzt gleichzeitig für „Inline“ und „Attached“ Modus.

„Inline“ meint, daß das das Attachment, wenn es ein Bild ist, im Textteil der Mail zusehen ist. Üblicherweise nennt man das Ergebnis eine HTML-Mail. Um das als Benutzer zu entscheiden, warf man das Bild einfach in die Email, oder in das Attachmentfeld rechts oben. Das geht jetzt nicht mehr. Nun muß man es „LINKS“ für Inline und RECHTS für „Attached“ werfen. Ich habe keine Ahnung, wer sich das ausgedacht hat 🙁

Viel schlimmer als die Attachments ist der Umstand, daß Thunderbird in dem Update auf Englisch in der UI umschaltet, weil die deutsche Sprachdatei fehlt. Die kann man hier finden und nachinstallieren:

https://download-origin.cdn.mozilla.net/pub/thunderbird/releases/91.0/linux-x86_64/xpi/de.xpi

Danach einfach mal im Addon Menü auf „Checking for Updates“ klicken, dann wirds spontan deutsch. Allerdings nur in den Prefs, für den Rest muß man Thunderbird neustarten.

Insgesamt ist das Update brauchbar und sollte nicht zu viele Probleme bereiten. Wer es für Fedora austesten möchte, der wird es von Koji runterladen und direkt installieren müssen:

https://koji.fedoraproject.org/koji/packageinfo?packageID=39

 

Firefox & Thunderbird: neue Remote-Code-Execution Schwachstelle

Warnung vom BSI:

10.11.2020 – TW-T20-0194

Mozilla Firefox/Thunderbird: Schwachstelle ermöglicht Ausführen von beliebigem Programmcode mit Benutzerrechten

Firefox & Thunderbird: neue Remote-Code-Execution

Betroffen sind :

  • Mozilla Firefox < 82.0.3

  • Mozilla Firefox ESR < 78.4.1

  • Mozilla Thunderbird < 78.4.2

Bekannt wurde die Schwachstelle bei einem Hackingwettbewerb in China:

„CVE-2020-26950: Write side effects in MCallGetProperty opcode not accounted for

In certain circumstances, the MCallGetProperty opcode can be emitted with unmet assumptions resulting in an exploitable use-after-free condition.“

Also, Updaten, Updaten.