Der (IT) Blog aus Braunschweig
Es ist eigentlich schon gute Tradition, daß Thunderbird zwei-drei Tage nach Firefox aktualisiert werden muß. Ratet mal, es ist mal wieder soweit 🙂
Wer jetzt Updaten möchte, hier ist das FC30 Paket:
Es handelt sich (natürlich) um die gleichen Lücken im Javascript, die auch im Firefox < 75.0 drin waren.
Und gleich nach Firefox zieht Mozilla mit der (vermutlich) gleichen Schwachstelle in Thunderbird nach: Remote-Code-Execution in Version < 68.4.1
Wie wir gerade vom CERT erfahren haben, ist in Thunderbird eine Sicherheitslücke enthalten, die zum Ausführen von Code aus der Ferne taugt. Mozilla schreibt dazu:
CVE-2019-17024: Memory safety bugs fixed in Thunderbird 68.4.1
- Reporter Mozilla developers
- Impact high
Description
Mozilla developers Jason Kratzer, Christian Holler, and Bob Clary reported memory safety bugs present in Thunderbird 68.3. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
References Memory safety bugs fixed in Thunderbird 68.4.1
Eine weitere kritische Sicherheitslücke wurden auch gefunden, auch wenn diese nicht per Email ausgenutzt werden kann:
In general, these flaws cannot be exploited through email in the Thunderbird product because scripting is disabled when reading mail, but are potentially risks in browser or browser-like contexts.
Offensichtlich nutzen Angreifer das bereits aus, weil der gleiche Bug auch in Firefox drin war. Wie das genau dann passiert, kann ich mir allerdings auch nur schwer vorstellen.
Derzeit werden die nötigen Pakete bei Fedora noch gebaut! Es gibt also noch keine Updates, die man einspielen könnte für Euch. Andere Distributionen waren da ggf. schneller.
Hier Eure Downloadlinks:
Wie gestern Nacht in diesem Artikel berichtet : Die so eigene Welt von Mozilla gibt es derzeit Probleme mit Lightning: Es ist nur noch englisch 🙁
Seit dem 30.9. gibt die neue Thunderbird 60.3.0 bereits, aber sie wurde erst am 31.10. für Fedora kompiliert:
| thunderbird-60.3.0-1.fc27 | xhorak | 2018-10-31 01:15:24 |
Den Link oben könnt Ihr benutzen und Eure Version aussuchen, oder einfach hier ( thunderbird-60.3.0-1.fc27.x86_64.rpm download) für 64Bit direkt downloaden. Natürlich gibt es auch andere Versionen für FC28,29,30 hier: Packageoverview Fedora .
Nach dem Update auf 60.3.0 ist Lightning wieder deutsch. Warum ? Weil es im Thunderbirdpaket direkt mit dabei ist 🙂
Sehr ärgerlich die Sache, weil es ja bereits einen fertigen Fix gibt 🙁 Aber wenigstens ist das bei Fedora besser organisiert als bei Mozilla. Merkt Euch einfach: KOJI ist immer Eurer Freund 😉