expertenaustausch > comm.software.* > comm.software.mozilla.mailnews

Helge Adler (13.01.2020, 22:31)


Betrifft uns das Problem in der aktuellen Seamonkey-Thunderbird-Kombi?
(v2.49.5)
Frank Miller (14.01.2020, 00:47)
Helge Adler wrote:
>
> Betrifft uns das Problem in der aktuellen Seamonkey-Thunderbird-Kombi?
> (v2.49.5)


Das ist jetzt 'ne Scherzfrage - oder?
Der Mail-Teil von SM 2.49.5 basiert größtenteils auf Thunderbird 52.9.1.
Laut den Release Notes sind auch noch zusätzliche security fixes bis hoch
zu ESR 60.2 zurückportiert und eingepflegt worden, aber das betrifft wohl
nur den Browser-Part. Der von dir zitierte Bug wurde in der aktuellen
Thunderbird-Version 68.4.1 gefixt.

Kurze Antwort: Ja.
Diese und Zig andere Sicherheitslücken befinden sich in Seamonkey.
Wieviele davon in Thunderbird seit Version 52.9.1 (die am 10.7.2018
veröffentlicht wurde) inzwischen gefixt wurden, sich aber noch in Seamonkey
befinden, kannst du selber recherchieren.
Mike Ritter (14.01.2020, 01:31)
Frank Miller schrieb:
> Helge Adler wrote:
>>
>> Betrifft uns das Problem in der aktuellen Seamonkey-Thunderbird-Kombi?
>> (v2.49.5)

> Das ist jetzt 'ne Scherzfrage - oder?
> Der Mail-Teil von SM 2.49.5 basiert größtenteils auf Thunderbird 52.9.1.


Und? Kann doch sein, dass die Experten den Bug erst hinterher eingebaut
haben?
Frank Miller (14.01.2020, 04:13)
Mike Ritter wrote:
> Frank Miller schrieb:
> Und? Kann doch sein, dass die Experten den Bug erst hinterher eingebaut
> haben?


Ja. ;-) *Kann* sein. Da müsste man sich dann mal den Bugtracker von Seamonkey
durchlesen - sofern das letzte halbe Dutzend Entwickler von SM noch einen
betreiben (können).

Was ich ausdrücken wollte: wer Seamonkey benutzt, sollte sich eigentlich klar
darüber sein, daß der darunter liegende Programm-Code gut 1½ Jahre alt ist.
In dieser Zeit sind wahrscheinlich Dutzende von Sicherheitslücken geschlossen
worden, die in Seamonkey frühestens 2021 oder vielleicht auch nie geflickt werden.

Ist ja auch kein Problem für mich, ich benutze selber (wie man aus den Headern
lesen kann) immer noch TB 38. Aus Gründen.
Aber ich würde jetzt nicht auf die Idee kommen, hier nachzufragen, ob für diese
meine Version irgendwelche Sicherheitslücken bestehen. Ich weiß, daß es sie gibt.

Seamonkey war mal 'ne geile "Internet-Suite"; hab' ich auch lange benutzt.
Aber seit einigen Jahren ist das nur noch ein kränkelnder Blinddarm unter der
Gnade von Mozilla.
Ruediger Lahl (14.01.2020, 07:39)
*Mike Ritter* schrieb:

> Frank Miller schrieb:
> Und? Kann doch sein, dass die Experten den Bug erst hinterher eingebaut
> haben?


Ja. Kann sein. Bist du nun beruhigt? Ich habe eben recht leicht das
betroffene Modul herausgefunden womit man auf das Alter des Bugs
rückschließen kann. Aber wer meint, out-of-support-Software nutzen zu
müssen, der darf sich nun als sportliche Übung selbst auf die Suche begeben.
Helge Adler (14.01.2020, 11:52)
Frank Miller schrieb am 14.01.2020 um 03:13:
> Mike Ritter wrote:


Nein. Ist es nicht.
Siehe die folgende Erklärung weiter unten.

Guten Morgen übrigens!

> Ja. ;-) *Kann* sein. Da müsste man sich dann mal den Bugtracker von Seamonkey
> durchlesen - sofern das letzte halbe Dutzend Entwickler von SM noch einen
> betreiben (können).
> Was ich ausdrücken wollte: wer Seamonkey benutzt, sollte sich eigentlich klar
> darüber sein, daß der darunter liegende Programm-Code gut 1½ Jahre alt ist.


Nicht älter?

Das ist ja noch'n Baby!

> In dieser Zeit sind wahrscheinlich Dutzende von Sicherheitslücken geschlossen
> worden, die in Seamonkey frühestens 2021 oder vielleicht auch nie geflickt werden.


Ebend!

Und wir sollten uns klar darüber werden, daß auch in der anno 2023
oder so erscheinenden Version 72.1.2.3 von Thunderbird weitere 33
"browserähnliche" (Zitat aus dem Heise-Artikel) Sicherheitslücken
enthalten sein werden, von denen wir heute noch gar nichts ahnen
geschweige denn wissen! Mal abgesehen von den bis dahin nicht
geschlossenen Lücken.

Also, was soll's?

> Ist ja auch kein Problem für mich, ich benutze selber (wie man aus den Headern
> lesen kann) immer noch TB 38. Aus Gründen.


Ebend, ebend!
Hier!

> Aber ich würde jetzt nicht auf die Idee kommen, hier nachzufragen, ob für diese
> meine Version irgendwelche Sicherheitslücken bestehen. Ich weiß, daß es sie gibt.


Eeeebend!

Deswegen hatte ich auch nicht _danach_ gefragt, sondern nur danach, ob
sich daraus ein Problem für uns v2.49.5-Anwender ergeben kann.

Und weil der zeitgenössische Anwender generell nicht am Problem, an
dem er eh nichts ändern kann, sondern nur an dessen Lösung
interessiert ist - sei daher die Frage verdeutlicht:

Genügt es, wie üblich, Javascript im EMailclient von SM abgeschaltet
zu belassen, um von dem Bug nicht getroffen werden zu können?

Bedarf es einer Interaktion des Anwenders (etwa Anhang öffnen), damit
ein Angreifer die Lücke ausnutzen kann? Davor kann sich der Anwender
nämlich leicht schützen.

Nun isses wohl klar.

Der Heise-Artikel verrät ja nix.

> Seamonkey war mal 'ne geile "Internet-Suite"; hab' ich auch lange benutzt.
> Aber seit einigen Jahren ist das nur noch ein kränkelnder Blinddarm unter der
> Gnade von Mozilla.


Finde ich zwar übertrieben, aber dann sei es halt so....
Ingo Steinbuechel (14.01.2020, 12:12)
Hallo Helge,

Am 13.01.20 um 21:31 schrieb Helge Adler:

>
> Betrifft uns das Problem in der aktuellen Seamonkey-Thunderbird-Kombi?
> (v2.49.5)


YMMD. Wie Frank schon schrieb, basiert dieser Schrott auf TB 52.9. Schau
selbst, welche Sicherheitslücken bestehen:



HTH
Gruß Ingo
Ruediger Lahl (14.01.2020, 14:14)
*Helge Adler* schrieb:

> Und wir sollten uns klar darüber werden, daß auch in der anno 2023
> oder so erscheinenden Version 72.1.2.3 von Thunderbird weitere 33
> "browserähnliche" (Zitat aus dem Heise-Artikel) Sicherheitslücken
> enthalten sein werden, von denen wir heute noch gar nichts ahnen
> geschweige denn wissen! Mal abgesehen von den bis dahin nicht
> geschlossenen Lücken.


Tja und von den 33 heutigen Lücken werden 32 gefixt sein. In SM dagegen...

> Also, was soll's?


Genau LMAA.
> Deswegen hatte ich auch nicht _danach_ gefragt, sondern nur danach, ob
> sich daraus ein Problem für uns v2.49.5-Anwender ergeben kann.


Das betroffene Modul wurde 2016 eingeführt. Have Fun!
> Der Heise-Artikel verrät ja nix.


Die können nur wiedergeben, was Mozilla verlautbart. Und die werden
Hackern keine 1zu1-Anleitung zu der Sicherheitslücke geben. Bessere
Hacker finden die aber trotzdem durch einen simplen Vergleich des
Quelltext vor und nach dem Fix.
Ruediger Lahl (14.01.2020, 14:25)
*Ingo Steinbuechel* schrieb:

> Am 13.01.20 um 21:31 schrieb Helge Adler:
> YMMD. Wie Frank schon schrieb, basiert dieser Schrott auf TB 52.9. Schau
> selbst, welche Sicherheitslücken bestehen:
>


Stell dich nicht so an. Sind doch nur ca. 100 Sicherheitslücken der
Marken "critical" und "high"...
Wolfgang Bauer (14.01.2020, 14:40)
*Ruediger Lahl* schrieb:
> *Ingo Steinbuechel* schrieb:


>> YMMD. Wie Frank schon schrieb, basiert dieser Schrott auf TB 52.9. Schau
>> selbst, welche Sicherheitslücken bestehen:


>>


> Stell dich nicht so an. Sind doch nur ca. 100 Sicherheitslücken der
> Marken "critical" und "high"...


Aber treten die nicht nur bei bestimmter Useraktion, Konstellation auf?

Gruß
Wolfgang
Ruediger Lahl (14.01.2020, 15:00)
*Wolfgang Bauer* schrieb:

> *Ruediger Lahl* schrieb:
> Aber treten die nicht nur bei bestimmter Useraktion, Konstellation auf?


Vielleicht. Nun versuche mal bis zu 100 Sicherheitslücken[1] zu
umschiffen... ;-)

[1] die der Marken "Moderate" und "Low" sind da noch gar nicht bei...
Wolfgang Bauer (14.01.2020, 15:54)
*Ruediger Lahl* schrieb:
> *Wolfgang Bauer* schrieb:


>> Aber treten die nicht nur bei bestimmter Useraktion, Konstellation auf?


> Vielleicht. Nun versuche mal bis zu 100 Sicherheitslücken[1] zu
> umschiffen... ;-)


Sicherheitshinweis der Mozilla Foundation 2018-18
In Thunderbird 52.9 behobene Sicherheitslücken
Angekündigt
3. Juli 2018
Einschlag
kritisch
Produkte
Thunderbird
Behoben in
Thunderbird 52.9
Im Allgemeinen können diese Fehler im Thunderbird-Produkt nicht per
E-Mail ausgenutzt werden, da die Skripterstellung beim Lesen von E-Mails
deaktiviert ist, jedoch potenzielle Risiken in Browser- oder
browserähnlichen Kontexten bestehen.

CVE-2018-12360: Use-after-free bei Verwendung von focus ()
Reporter
Nils
Einschlag
kritisch
Beschreibung
Eine Use-after-free-Sicherheitsanfälligkeit kann auftreten, wenn ein
Eingabeelement während eines durch das Fokussieren dieses Elements
ausgelösten Handlers für Mutationsereignisse gelöscht wird. Dies führt
zu einem potenziell ausnutzbaren Absturz.

CVE-2018-12362: Ganzzahliger Überlauf im SSSE3-Skalierer
Reporter
F. Alonso (revskills)
Einschlag
hoch
Beschreibung
Bei Grafikoperationen, die mit dem SSSE3-Scaler (Supplemental Streaming
SIMD Extensions 3) ausgeführt werden, kann ein Ganzzahlüberlauf
auftreten, der zu einem potenziell ausnutzbaren Absturz führen kann.

Ich weiß nicht ob das für TB 60.9.1 und für mich relevant ist.
Ob ich mit meinem normalen Verhalten, Thunderbird nur für News, die
Lücken überhaupt öffne.

Gruß
Wolfgang
Ingo Steinbuechel (14.01.2020, 17:34)
Hallo Wolfgang,

Am 14.01.20 um 14:54 schrieb Wolfgang Bauer:

> Sicherheitshinweis der Mozilla Foundation 2018-18
> In Thunderbird 52.9 behobene Sicherheitslücken ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^


> Ich weiß nicht ob das für TB 60.9.1 und für mich relevant ist.
> Ob ich mit meinem normalen Verhalten, Thunderbird nur für News, die
> Lücken überhaupt öffne.


Guten Morgen Wolfgang, nein. ich hab's Dir oben unterstrichen. Das sind
die Lücken, die in 52.9 geschlossen wurden. Das sollte dann auch im
SM-Schrott noch so sein. Dafür wären dann alle Sicherheitslücken
relevant, die *nach* 52.9 geschlossen wurden, also ab Version 60 bis
heute 68.4.1. Ich habe sie nicht gezählt. Laut Rüdiger sind es (bisher)
nur ca. 100. Und täglich kommen neue hinzu, die in neuen TB-Versionen
geschlossen sind. Der SM-Schrott dagegen ist tot, mausetot.

Gruß Ingo
Helge Adler (14.01.2020, 23:21)
Ingo Steinbuechel schrieb am 14.01.2020 um 16:34:
> Hallo Wolfgang,
> Am 14.01.20 um 14:54 schrieb Wolfgang Bauer:
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> Guten Morgen Wolfgang, nein. ich hab's Dir oben unterstrichen. Das sind
> die Lücken, die in 52.9 geschlossen wurden.


Diese Lücken sind also bekannt und allseits geschlossen, ein Angreifer
wäre blöd, wenn er darauf abzielen würde, stimmt's?

> Das sollte dann auch im
> SM-Schrott noch so sein. Dafür wären dann alle Sicherheitslücken
> relevant, die *nach* 52.9 geschlossen wurden, also ab Version 60 bis
> heute 68.4.1. Ich habe sie nicht gezählt. Laut Rüdiger sind es (bisher)
> nur ca. 100.


Diese Lücken sind demnach ebenfalls bekannt und bis auf gaaanz wenige
in allen 'unseren' Anwender-Programmen geschlossen. Ein Angreifer wäre
blöd, wenn er darauf abzielen würde, stimmt's?

Das heißt, vor solchen Deppen muss man sich nicht fürchten - stimmt's?

> Und täglich kommen neue hinzu, die in neuen TB-Versionen
> geschlossen sind.


Lücken, die bis dahin bekannt wurden und geschlossen _werden_!

_Vorher_ sind die Lücken unbekannt, nur den schlauen, bösen Hackern
nicht.

Daher sind gerade davon sämtliche Anwender gleichermaßen bedroht, egal
ob Version 60 oder 68.4.1 oder SM im Einsatz ist. Stimmt's?

> Der SM-Schrott dagegen ist tot, mausetot.
> Gruß Ingo


Irrtum!

Totgesagte leben länger, stimmt's?

Zumal der Lückenbedrohte eben doch nicht gänzlich schutzlos dastehen
muss:

Scripting ist weithin abgeschaltet, Liste der sicheren EMail-
Server/-Provider im Telekomrouter ist aktiviert, wer klickt denn auf
*.doc-Dateien? Usw. usf.
Mike Ritter (14.01.2020, 23:53)
Ingo Steinbuechel schrieb:
> Hallo Wolfgang,
> Am 14.01.20 um 14:54 schrieb Wolfgang Bauer:
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> Guten Morgen Wolfgang, nein. ich hab's Dir oben unterstrichen.


Schön, nur verstanden hast Du offenbar nix.

> Das sind die Lücken, die in 52.9 geschlossen wurden. Das sollte dann
> auch im SM-Schrott noch so sein.


Genau. Man hat Lücken zugemacht, die JS betreffen. Da JS (zum Glück) in
"Mozilla-Mailern" von Haus aus schon deaktiviert ist, ist (und war!)
weder TB noch SM (als Mailer) Schrott oder betroffen.

> Dafür wären dann alle Sicherheitslücken relevant, die *nach* 52.9
> geschlossen wurden


Nein. s,o.

Ähnliche Themen