Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is gemiddeld Schadeniveau is gemiddeld NCSC-2017-1110 [1.01]

Meerdere kwetsbaarheden verholpen in Thunderbird

31-12-2017 - Er zijn meerdere kwetsbaarheden in Thunderbird verholpen waarmee een kwaadwillende mogelijk gevoelige gegevens kan bemachtigen, willekeurig javascript kan uitvoeren of een spoofing aanval kan opzetten.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Meerdere kwetsbaarheden verholpen in Thunderbird
Advisory ID     : NCSC-2017-1110
Versie          : 1.01
Kans            : medium
CVE ID          : CVE-2017-7829, CVE-2017-7846, CVE-2017-7847,
                  CVE-2017-7848
                  (http://cve.mitre.org/cve/)
Schade          : medium
                  Remote code execution (Gebruikersrechten)
                  Spoofing
                  Toegang tot gevoelige gegevens
                  Toegang tot systeemgegevens
Uitgiftedatum   : 20171231
Toepassing      : Mozilla Thunderbird
Versie(s)       : 
Platform(s)     : Linux

Update
   De ontwikkelaars van Debian hebben updates beschikbaar gesteld om de
   kwetsbaarheden te verhelpen in Thunderbird. 

Samenvatting
   Er zijn meerdere kwetsbaarheden in Thunderbird verholpen waarmee een
   kwaadwillende mogelijk gevoelige gegevens kan bemachtigen,
   willekeurig javascript kan uitvoeren of een spoofing aanval kan
   opzetten.

Gevolgen
   Als gevolg van de kwetsbaarheden is het voor een kwaadwillende
   mogelijk om een aanval met spoofing uit te voeren, willekeurige
   javascript uit te voeren of mogelijk gevoelige gegevens te
   bemachtigen.

Beschrijving
   - CVE-2017-7846
   Een kwetsbaarheid waarbij willekeurige JavaScript code via RSS
   uitgevoerd kan worden met behulp van de "mailbox://" handler.
   
   - CVE-2017-7847
   Een kwetsbaarheid waarbij het lokale pad verkregen kan worden via
   een RSS feed.
   
   - CVE-2017-7848
   Als gevolg van een kwetsbaarheid in het afhandelen van RSS feeds kan
   een kwaadwillende een new line Injection aanval opzetten.
   
   - CVE-2017-7829
   Door het foutief afhandelen van encoded null character in het
   from-veld kan een adres visueel vroegtijdig afgebroken worden. Dit
   kan gebruikt worden voor een spoofing-aanval.

Mogelijke oplossingen
   -= Debian =-
   Debian heeft updates van thunderbird beschikbaar gesteld voor Debian
   8.0 (Jessie) en Debian 9.0 (Stretch) om de kwetsbaarheden te
   verhelpen. U kunt de aangepaste packages installeren door gebruik te
   maken van 'apt-get update' en 'apt-get upgrade'. Meer informatie
   kunt u vinden op onderstaande pagina:
   
   https://www.debian.org/security/2017/dsa-4075
   
   -= OpenSUSE =-
   De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om
   de kwetsbaarheden te verhelpen in OpenSUSE Leap 42.2 en Leap 42.3. U
   kunt deze aangepaste packages installeren door gebruik te maken van
   'zypper'. U kunt ook gebruik maken van YAST of de updates handmatig
   downloaden van de OpenSUSE downloadserver (download.opensuse.org).
   Voor meer informatie, zie:
   
   https://lists.opensuse.org/opensuse-updates/2017-12/msg00107.html
   
   -= SUSE =-
   SUSE heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen in SUSE 12. U kunt deze aangepaste packages installeren
   door gebruik te maken van 'YaST'. U kunt de packages ook handmatig
   downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer
   informatie, zie:
   
   https://lists.opensuse.org/opensuse-updates/2017-12/msg00106.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.1 (Build 777)
Charset: utf-8
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=a5XJ
-----END PGP SIGNATURE-----

Wat is het NCSC?

NCSCstill

CSBN 2017

CSBN 2017