DFN-CERT

Advisory-Archiv

2016-0260: Mozilla Firefox, Firefox ESR, Debian Iceweasel: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2016-02-12 13:40)
Neues Advisory
Version 2 (2016-02-15 10:46)
Debian stellt für die Distributionen Jessie und Wheezy Sicherheitsupdates auf die Iceweasel Version 38.6.1 bereit, welche die Schwachstelle CVE-2016-1523 adressieren.
Version 3 (2016-02-15 18:57)
Die Schwachstellen CVE-2016-1521, CVE-2016-1522 und CVE-2016-1526, die Mozilla Firefox ESR vor Version 38.6.1 betreffen, werden mit diesem Update ebenfalls behoben.
Version 4 (2016-02-16 17:17)
Für verschiedene Red Hat Enterprise Linux 5, 6 und 7 Produkte stehen Sicherheitsupdates auf Firefox ESR 38.6.1 zur Verfügung, um die Schwachstellen CVE-2016-1521, CVE-2016-1522 und CVE-2016-1523 zu beheben.
Version 5 (2016-02-17 15:10)
openSUSE stellt für openSUSE 13.2 und openSUSE Leap 42.1 Sicherheitsupdates auf die Firefox Version 44.0.2 zur Behebung der Schwachstelle CVE-2016-1949 bereit.
Version 6 (2016-02-24 15:39)
Für die SUSE Linux Enterprise Produkte Software Development Kit 12 mit / ohne SP1, Server 12 mit / ohne SP1 sowie Desktop 12 mit / ohne SP1 stehen Sicherheitsupdates auf Firefox 38.6.1 ESR zur Behebung der Schwachstelle CVE-2016-1523 zur Verfügung. Für openSUSE 13.1 steht ein Sicherheitsupdate auf Firefox Version 44.0.2 zur Behebung der Schwachstelle CVE-2016-1949 bereit.
Version 7 (2016-02-25 10:51)
SUSE stellt für die SUSE Linux Enterprise 11 SP4 Produkte Software Development Kit, Server und Desktop Sicherheitsupdates auf die Firefox 38.6.1 ESR Version bereit.
Version 8 (2016-04-06 12:09)
Für die Red Hat Enterprise Linux Produkte Server 7, AUS 7.2 und EUS 7.2, Desktop 7, Workstation 7 sowie HPC Node 7 und EUS 7.2 stehen Sicherheitsupdates für Graphite 2 bereit. Die Schwachstelle CVE-2016-1949 besteht nicht in Graphite 2 und wird daher nicht adressiert.

Betroffene Software

Office

Betroffene Plattformen

Apple
Google
Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle in Firefox vor Version 44.0.2 ausnutzen, um Sicherheitsvorkehrungen zu umgehen und Cross-Site-Scripting-Angriffe durchzuführen. In Firefox ESR vor Version 38.6.1 erlaubt eine andere Schwachstelle einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes.

Mozilla informiert über die Schwachstelle in der jeweiligen Version und stellt Firefox 44.0.2 und Firefox ESR 38.6.1 als Sicherheitsupdates bereit. Für die Distributionen Fedora 22 und 23 stehen mit den Paketen firefox-44.0.2-3.fc22 und firefox-44.0.2-3.fc23 Sicherheitsupdates im Status 'pending' zur Verfügung. Canonical veröffentlicht für Ubuntu 12.04 LTS, 14.04 LTS und 15.10 ebenfalls Sicherheitsupdates auf die Firefox Version 44.0.2.

Schwachstellen:

CVE-2016-1521

Schwachstelle in Graphite2 ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-1522

Schwachstelle in Graphite2 ermöglicht Denial-of-Service-Angriff

CVE-2016-1523

Schwachstelle in Graphite2 ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-1526

Schwachstelle in Graphite2 ermöglicht Denial-of-Service-Angriff

CVE-2016-1949

Schwachstelle in Mozilla Firefox ermöglicht das Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.