2016-0677: Mozilla Firefox, Firefox ESR, Debian Iceweasel: Mehrere Schwachstelle ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2016-04-27 13:44)

Neues Advisory

Version 2 (2016-04-27 17:29)

Canonical stellt für die Distributionen Ubuntu Linux 12.04 LTS, 14.04 LTS, 15.10 und 16.04 LTS Sicherheitsupdates auf Mozilla Firefox 46 bereit.

Version 3 (2016-04-28 13:27)

Debian stellt für die Distributionen Debian Wheezy (oldstable) und Jessie (stable) Sicherheitsupdates für Debian Iceweasel auf Basis von Firefox ESR 38.8 bereit und behebt damit die Firefox ESR betreffenden Schwachstellen.

Version 4 (2016-04-29 12:54)

Das Tor Browser Project stellt Tor Browser 6.0a5 als Sicherheitsupdate auf Basis von Firefox ESR 45.1.0 bereit, um die entsprechenden Schwachstellen zu beheben. Für Fedora 23 und 24 stehen Sicherheitsupdates auf Firefox 46.0 in Form von firefox-46.0-4 Paketen im Status 'testing' zur Verfügung. Für Fedora 22, 23 und 24 befinden sich allerdings auch schon Bugfixes in Form von firefox-46.0-5 Paketen im Status 'pending'.

Version 5 (2016-05-02 17:44)

Das Tor Browser Project stellt zusätzlich Tor Browser 6.0a5-hardened als Sicherheitsupdate auf Basis von Firefox ESR 45.1.0 bereit, um die entsprechenden Schwachstellen zu beheben. Ein inkrementelles Update auf diese Version ausgehend von 6.0a3-hardened kann nicht zur Verfügung gestellt werden.

Version 6 (2016-05-03 12:59)

Canonical informiert darüber, dass mit USN-2936-1 für Firefox eine Regression eingeführt wurde, wodurch Firefox beim Startup mit dem Oxygen GTK Theme abstürzt, aufgrund eines bereits vorher existenten Bugs in der Oxygen-GTK3 Theme Engine. Mit USN-2936-2 wird ein Update für Oxygen-GTK3 zur Behebung dieses Problems bereitgestellt.

Version 7 (2016-05-06 17:28)

Für openSUSE 13.2 und openSUSE Leap 42.1 stehen Sicherheitsupdates auf Firefox 46.0 bereit, die die zehn für Linux-Systeme relevanten Schwachstellen beheben. Für Fedora 22 steht ein Update auf Firefox 46.0.1 im Status 'testing' bereit. Die bisherigen Updates für Fedora 22 auf Firefox 46 wurden als obsolet gekennzeichnet oder zurückgezogen.

Version 8 (2016-05-09 12:24)

Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop in den Versionen 12 und 12-SP1 stehen Sicherheitsupdates auf Firefox ESR 38.8.0 bereit, die die entsprechenden Schwachstellen (CVE-2016-2805, CVE-2016-2807, CVE-2016-2808 und CVE-2016-2814) beheben.

Version 9 (2016-05-09 20:13)

Für openSUSE 13.1 stehen Sicherheitsupdates bereit, die die für Linux-Systeme relevanten Schwachstellen beheben.

Version 10 (2016-05-19 12:51)

Für SUSE Linux Enterprise Server 11 SP2 LTSS steht ein Sicherheitsupdate auf die Firefox ESR Version 38.8.0 zur Verfügung.

Version 11 (2016-05-19 14:17)

Canonical informiert darüber, dass mit USN-2936-1 für Firefox eine Regression eingeführt wurde, welche dazu führte, dass Firefox jedes Mal bei about:preferences#sync einen Device Update POST Request sendete. Mit USN-2936-3 wird diese Regression behoben. Für SUSE Linux Enterprise Server 10 SP4 LTSS steht ein Sicherheitsupdate auf Firefox ESR 38.8.0 bereit, welches die entsprechenden Schwachstellen (CVE-2016-2805, CVE-2016-2807, CVE-2016-2808 und CVE-2016-2814) behebt.

Version 12 (2016-05-23 13:00)

SUSE stellt für die Produkte OpenStack Cloud 5, Manager Proxy 2.1, Manager 2.1, Linux Enterprise Software Development Kit 11 SP4, Linux Enterprise Server 11 SP4 sowie Server 11 SP3 LTSS Sicherheitsupdates auf die Firefox ESR 38.8.0 Version zur Verfügung.

Version 13 (2016-05-31 16:45)

Das Tor Browser Project stellt den Tor Browser 6.0 als erste stabile Programmversion auf Basis von Firefox ESR 45.1.1 bereit. Der Tor Browser 6.0 verwendet mit OpenSSL 1.0.1t die aktuellste Version der freien Software.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Apple
Google
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in Mozilla Firefox vor Version 46 und Mozilla Firefox ESR vor Version 45.1 sowie vor Version 38.8 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes, Eskalieren von Privilegien, Umgehen von Sicherheitsvorkehrungen, Ausspähen von Informationen und Durchführen von Denial-of-Service (DoS)-Angriffen.

Für die Red Hat Enterprise Linux Produkte Server 5, 6, 6.7.z EUS, 7, 7.2 AUS und 7.2 EUS, Desktop 5, 6 und 7, HPC Node 6 sowie Workstation 6 und 7 stehen Sicherheitsupdates in Form aktueller Firefox ESR 45.1 Pakete bereit, welche die Schwachstellen CVE-2016-2805, CVE-2016-2806, CVE-2016-2807, CVE-2016-2808 und CVE-2016-2814 adressieren.

Das Tor Browser Project stellt Tor Browser 5.5.5 als Sicherheitsupdate auf Basis von Firefox ESR 38.8.0 bereit, um die entsprechenden Schwachstellen zu beheben.

Schwachstellen:

CVE-2016-2804

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2016-2805

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2016-2806

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2016-2807

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2016-2808

Schwachstelle in Mozilla Firefox ermöglicht Ausführen beliebigen Programmcodes

CVE-2016-2809

Schwachstelle in Mozilla Firefox ermöglicht Privilegieneskalation

CVE-2016-2810

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen und Ausspähen von Informationen

CVE-2016-2811

Schwachstelle in Mozilla Firefox ermöglicht Ausführen beliebigen Programmcodes

CVE-2016-2812

Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff

CVE-2016-2813

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2016-2814

Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff

CVE-2016-2816

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-2817

Schwachstelle in Mozilla Firefox ermöglicht Privilegieneskalation

CVE-2016-2820

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.