2014-1345: Mozilla Firefox, Thunderbird: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2014-10-15 17:13)
- Neues Advisory
- Version 2 (2014-10-16 16:01)
- Für Ubuntu 14.04 LTS und 12.04 LTS werden Sicherheitsupdates von Thunderbird 31.2 bereitgestellt, welche nur die Schwachstellen CVE-2014-1574, CVE-2014-1576, CVE-2014-1577, CVE-2014-1578, CVE-2014-1581, CVE-2014-1585 und CVE-2014-1586 adressieren.
- Version 3 (2014-10-20 15:46)
- Debian stellt ein Sicherheitsupdate auf Iceweasel 31.2 ESR bereit, welches die Schwachstellen CVE-2014-1574, CVE-2014-1576, CVE-2014-1577, CVE-2014-1578, CVE-2014-1581, CVE-2014-1583, CVE-2014-1585 und CVE-2014-1586 adressiert.
- Version 4 (2014-10-29 12:49)
- Fedora hat Sicherheitsupdates auf Firefox 33.0 für die Distributionen Fedora 19 und Fedora 20 bereitgestellt, sowie Sicherheitsupdates auf Thunderbird 31.2.0 für Fedora 19, Fedora 20, Fedora 21 und Fedora EPEL 7.
- Version 5 (2014-11-03 17:37)
- Für openSUSE 12.3 und openSUSE 13.1 werden Sicherheitsupdates auf Firefox 33.0, SeaMonkey 2.30, Mozilla NSP 4.10.7 und Mozilla NSS 3.17.1 bereitgestellt, welche zusätzlich die Schwachstelle CVE-2014-1554 beheben.
- Version 6 (2014-11-04 17:03)
- Für die Distribution Fedora 21 steht ein Sicherheitsupdate auf die Firefox-Version 33 bereit.
Betroffene Software
Office
Sicherheit
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen im Mozilla Firefox-Browser ermöglichen in den meisten Fällen einem entfernten, nicht authentifizierten Angreifer beliebigen Programmcode mit den Rechten des Benutzers zur Ausführung zu bringen oder einen Denial-of-Service-Zustand zu bewirken. Andere Schwachstellen ermöglichen entweder das Ausspähen von Informationen, Man-in-the-Middle-Angriffe oder das Umgehen von Sicherheitsvorkehrungen. Die Schwachstellen werden durch Mozilla Firefox 33, Firefox ESR 31.2 und Thunderbird 31.2 behoben, wobei die Schwachstellen CVE-2014-1580, CVE-2014-1582 und CVE-2014-1584 nicht Firefox ESR 31.1 und Thunderbird 31.1 betreffen. Insbesondere Thunderbird ist nur dann überhaupt betroffen, wenn Scripting nicht deaktiviert ist und der E-Mail-Client zudem wie ein Browser verwendet wird. Für Ubuntu 14.04 LTS und 12.04 LTS wurden bereits Sicherheitsupdates von Firefox 33.0 bereitgestellt.
Schwachstellen:
CVE-2014-1554
Schwachstelle ermöglicht die Ausführung von beliebigen Programmcode mit den Rechten des BenutzersCVE-2014-1574
Schwachstellen in Mozilla Firefox & Thunderbird erlauben Denial-of-Service und Ausführen beliebigen ProgrammcodesCVE-2014-1575
Schwachstellen in Mozilla Firefox & Thunderbird erlauben Denial-of-Service und Ausführen beliebigen ProgrammcodesCVE-2014-1576
Pufferspeicherüberlauf-Schwachstelle in Mozilla Firefox & ThunderbirdCVE-2014-1577
Schwachstelle in Mozilla Firefox & Thunderbird ermöglicht Ausspähen von InformationCVE-2014-1578
Schwachstelle in Mozilla Firefox & Thunderbird ermöglicht Denial-of-Service und Ausführen beliebigen ProgrammcodesCVE-2014-1580
Schwachstelle in Firefox ermöglicht Ausspähen von InformationCVE-2014-1581
Use-after-free-Schwachstelle in Mozilla Firefox & ThunderbirdCVE-2014-1582
Schwachstelle in Firefox erlaubt Man-in-the-middle-AngriffeCVE-2014-1583
Schwachstelle in Firefox erlaubt Umgehen von SicherheitsvorkehrungenCVE-2014-1584
Schwachstelle in Firefox erlaubt Man-in-the-middle-AngriffeCVE-2014-1585
Schwachstelle in Mozilla Firefox & Thunderbird erlaubt Ausspähen von InformationenCVE-2014-1586
Schwachstelle in Mozilla Firefox & Thunderbird erlaubt Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.