2016-0413: Mozilla Firefox, Firefox ESR, NSS, Debian Iceweasel: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2016-03-09 18:27): Neues Advisory
Version 2 (2016-03-10 11:20): Canonical stellt für Ubuntu 15.10, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS zusätzliche Sicherheitsupdates zur Behebung der Schwachstelle CVE-2016-1950 in Form aktualisierter libnss3-Pakete, welche eine Update auf die NSS Version 3.21 darstellen, bereit. Debian aktualisiert für die Distributionen Wheezy und Jessie die Debian Variante des Firefox Browsers, Iceweasel, auf die Version 38.7.0 ESR und schließt damit die im ESR-Zweig relevanten Schwachstellen.
Version 3 (2016-03-14 11:20): Für die Distributionen openSUSE 13.1, openSUSE 13.2 und openSUSE Leap 42.1 stehen Sicherheitsupdates auf Firefox 45.0, Mozilla NSPR 4.12 und NSS 3.21.1 zur Verfügung. Für die SUSE Linux Enterprise 12 und 12-SP1 Produkte Software Development Kit, Server und Desktop wird Firefox auf die Version 38.7.0 ESR aktualisiert und ebenfalls Mozilla NSPR auf Version 4.12, die Schwachstellen in NSS werden über Backports adressiert. Debian stellt für die Distributionen Wheezy, Jessie und Stretch Sicherheitsupdates für Graphite2 bereit.
Version 4 (2016-03-16 10:53): Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, Server 11 SP4 und 11 SP3 LTSS sowie Desktop 11 SP4 stehen Sicherheitsupdates für Firefox auf die Version 38.7.0 ESR und Mozilla NSPR auf Version 4.12 bereit. Die Schwachstellen in NSS werden über Backport-Sicherheitsupdates adressiert.
Version 5 (2016-03-21 12:01): Für SUSE Linux Enterprise Server 10 SP4 stehen Sicherheitsupdates für Firefox auf die Version 38.7.0 ESR und Mozilla NSPR auf Version 4.12 bereit. Die Schwachstellen in NSS werden über Backport-Sicherheitsupdates adressiert und es wird zusätzlich die Schwachstelle CVE-2016-1978 behoben, die für Mozilla Advisory MFSA 2016-15 nachgeliefert wurde.
Version 6 (2016-03-23 15:14): Red Hat stellt ein Sicherheitsupdate für die Red Hat Enterprise Linux Produkte HPC Node EUS 7.1, Server AUS 6.2, 6.4 und 6.5 sowie Server EUS 6.6.z und 7.1 in Form aktualisierter nss-util-Pakete bereit und adressiert damit die Schwachstelle CVE-2016-1950.
Version 7 (2016-03-23 19:09): Es stehen Updates für Mozilla Firefox auf Version 45.0.1 und Mozilla Firefox ESR auf Version 38.7.1 bereit. Mit diesen Programmversionen wird die Bibliothek Graphite zur Darstellung spezieller Schriftarten, in der durch das vorherige Sicherheitsupdate mehrere Schwachstellen behoben wurden, vollständig deaktiviert. Für Fedora 22, 23 und 24 stehen Updates auf Firefox 45.0.1 im Status 'testing' bereit. Debian aktualisiert Debian Iceweasel auf Basis von Firefox ESR für die Distributionen Wheezy (oldstable) und Jessie (stable) auf Version 38.7.1.
Version 8 (2016-03-30 20:16): Für SUSE Linux Enterprise Server 11 SP2 LTSS stehen Sicherheitsupdates für Firefox auf die Version 38.7.0 ESR und Mozilla NSPR auf Version 4.12 bereit. Die Schwachstellen in NSS werden über Backport-Sicherheitsupdates adressiert.
Version 9 (2016-04-05 17:35): Für die Red Hat Enterprise Linux Produkte Desktop 6, HPC Node 6, Server 6, Server EUS 6.7.z und Workstation 6 werden die Schwachstellen CVE-2016-1978 und CVE-2016-1979 in den Network Security Services (NSS) durch ein Sicherheitsupdate der Pakete nss, nss-util und nspr behoben.
Version 10 (2016-04-08 13:38): Canonical informiert darüber, dass durch das Sicherheitsupdate USN-2917-1 mehrere Regressionen eingeführt wurden, die dazu führen können, dass die Einstellungen der Suchmaschine verloren gehen, die Liste der Such-Anbieter leer erscheint oder die URL-Adressanzeige nach der Eingabe eine fehlerhaften URL defekt ist. Canonical stellt mit dem Update USN-2917-2 korrigierte Pakete zur Behebung dieser Probleme bereit.
Version 11 (2016-04-20 11:33): Canonical informiert erneut darüber, dass durch das Firefox Sicherheitsupdate USN-2917-1 mehrere Regressionen eingeführt wurden. Mit dem Update USN-2917-2 wurden davon bereits einige, die im Kontext der Suchmaschine standen, behoben. Jetzt steht das Update USN-2917-3 zur Verfügung, über welches mehrere Web-Kompatibilitätsprobleme adressiert werden.
Version 12 (2016-04-28 13:35): Mozilla Foundation Security Advisory 2016-36 wurde ergänzt. Demnach wurde die Schwachstelle CVE-2016-1979 für Firefox ESR erst in Version 38.8 behoben.
Version 13 (2016-05-03 14:06): Mozilla Foundation Security Advisory 2016-29 wurde aktualisiert. Demnach ist die Schwachstelle CVE-2016-1967 für Firefox ESR in Version 38.8 behoben.

Betroffene Software

Office
Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Google
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR vor Version 45 bzw. 38.7 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, die Manipulation von Dateien, das Ausspähen von Informationen, das Darstellen falscher Informationen und das Durchführen von Denial-of-Service (DoS)-Angriffen.

Für Fedora 22 und 23 steht die neue Version 45.0 von Firefox als Sicherheitsupdate im Status 'pending' zur Verfügung.

Für Red Hat Enterprise Linux 5, 6 und 7 stehen Sicherheitsupdates in der Form aktueller Firefox ESR 38.7 und NSS-Util 3.19.1 Pakete bereit, welche die Schwachstellen CVE-2016-1950, CVE-2016-1952, CVE-2016-1954, CVE-2016-1957, CVE-2016-1958, CVE-2016-1960 bis CVE-2016-1962,CVE-2016-1964 bis CVE-2016-1966, CVE-2016-1973, CVE-2016-1974, CVE-2016-1977, CVE-2016-2790 bis CVE-2016-2802 adressieren.

Das Tor Projekt verwendet für die Produkte Tor Browser 5.5.3, alpha Tor Browser 6.0a3, hardened Tor Browser 6.0a3-hardened und Tails 2.2 ab sofort Firefox 38.7.0 ESR als Basis und stellt entsprechende Sicherheitsupdates zur Verfügung, die zusätzlich weitere Schwachstellen in anderen Komponenten adressieren.

Canonical stellt für die Distributionen Ubuntu 15.10, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS Sicherheitsupdates auf die Firefox Version 45.0 bereit.

Schwachstellen:

CVE-2016-1950

Schwachstelle in NSS / Security ermöglicht Ausführen beliebigen Programmcodes mit Benutzerrechten

CVE-2016-1952

Schwachstellen in Mozilla Firefox ermöglichen Ausführen beliebigen Programmcodes

CVE-2016-1953

Schwachstellen in Mozilla Firefox ermöglichen Ausführen beliebigen Programmcodes

CVE-2016-1954

Schwachstelle in Mozilla Firefox ermöglicht Manipulation von Dateien

CVE-2016-1955

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2016-1956

Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff

CVE-2016-1957

Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff