2014-0527: Mozilla Firefox, Thunderbird: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2014-04-30 18:44): Neues Advisory
Version 2 (2014-05-02 12:26): Neues Advisory
Version 3 (2014-05-06 18:43): Der Hersteller stellt für Iceweasel und Icedove in Debian Wheezy und Jessie Sicherheitsupdates zur Verfügung.
Version 4 (2014-05-14 13:08): SUSE hat Sicherheitsupdates für die Distributionen SUSE Linux Enterprise Software Development Kit 11 SP3, SUSE Linux Enterprise Desktop 11 SP3, SUSE Linux Enterprise Server 11 SP3 und Server 11 SP3 für VMware veröffentlicht. Die Schwachstelle mit der ID CVE-2014-1520 ist neu hinzugekommen und bezieht sich nur auf diese Sicherheitsupdates.
Version 5 (2014-05-14 16:54): openSUSE hat Sicherheitsupdates für die Distributionen openSUSE 12.3 und 13.1 veröffentlicht. Die Schwachstelle mit der ID CVE-2014-1520 ist in den Sicherheitsupdates nicht mit inbegriffen.
Version 6 (2014-05-16 17:13): Für SUSE Linux Enterprise Server 11 SP2 LTSS steht ein Sicherheitsupdate zur Verfügung.

Betroffene Software

Office

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen erlauben einem entfernten, nicht authentisierten Angreifer beliebigen Programmcode mit den Rechten des Benutzers auszuführen oder einen Denial-of-Service-Zustand herbeizuführen.

Schwachstellen:

CVE-2014-1518

Mehrere Schwachstellen in der Mozilla Browser Engine

CVE-2014-1520

Schwachstelle in Mozilla Maintenance Service Installer erlaubt Privilegieneskalation

CVE-2014-1523

Pufferüberlauf-Schwachstelle in Mozilla

CVE-2014-1524

Pufferüberlauf-Schwachstelle in Mozilla

CVE-2014-1529

Schwachstelle in der "Web Notification" API

CVE-2014-1530

Schwachstelle in Mozilla erlaubt XSS

CVE-2014-1531

Use-after-free-Schwachstelle in Mozilla

CVE-2014-1532