2014-0340: Mozilla: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2014-03-19 18:42): Neues Advisory
Version 2 (2014-03-20 13:05): Red Hat hat für die folgenden Distributionen Sicherheitsupdates veröffentlicht, welche die Schwachstellen nun auch für die E-Mail-Anwendung Thunderbird adressieren: RHEL Optional Productivity Applications (v. 5 server), Red Hat Enterprise Linux Desktop (v. 5 client), Red Hat Enterprise Linux Desktop (v. 6), Red Hat Enterprise Linux Server (v. 6), Red Hat Enterprise Linux Server AUS (v. 6.5), Red Hat Enterprise Linux Server EUS (v. 6.5.z), Red Hat Enterprise Linux Workstation (v. 6). Für Debian Linux 7.4 (wheezy) wurde ein neues Paket von "Iceweasel", Debians Version des Mozilla Firefox Browsers, bereitgestellt, welches alle referenzierten Schwachstellen bis auf CVE-2014-1509 behebt.

Betroffene Software

Office

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen erlauben, in den meisten Fällen, einem entfernten, nicht authentisierten Angreifer beliebigen Programmcode zur Ausführung bringen oder die Mozilla-Anwendung zum Absturz zu bringen. Red Hat hat für mehrere Distributionen Sicherheitsupdates veröffentlicht, welche die Mozilla-Schwachstellen adressieren.

Schwachstellen:

CVE-2014-1493

Memory Safety-Fehler in Mozilla-Produkten

CVE-2014-1497

Out-of-bounds-read-Schwachstelle in der WAV-Datei Dekodierung

CVE-2014-1505

Schwachstelle in feDisplacementMap

CVE-2014-1508

Out-of-bounds-read-Schwachstelle in libxul.so!gfxContext::Polygon

CVE-2014-1509

Speicherüberlauf-Schwachstelle in Cairo

CVE-2014-1510

Schwachstelle in WebIDL

CVE-2014-1511

Umgehung des Popup-Blockers in Mozilla Produkten

CVE-2014-1512

Use-after-free-Schwachstelle in Mozilla-Produkten

CVE-2014-1513

Out-of-bounds-Schwachstelle in TypedArrayObject

CVE-2014-1514