2017-1019: Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-06-14 16:28): Neues Advisory
Version 2 (2017-06-14 19:53): Für Oracle Linux 6 und 7 steht Firefox 52.2.0 ESR als Sicherheitsupdate zur Verfügung.
Version 3 (2017-06-15 16:27): Für Debian Jessie (stable) steht Firefox ESR 52.2.0 als Sicherheitsupdate zur Verfügung. Debian folgt damit dem Hersteller, der den Support des ESR 45.x Versionszweiges eingestellt hat. Weiterhin kündigt Debian an, dass die kommende stabile Distribution Stretch bald ein Update erhält. Canonical stellt Firefox 54.0 als Sicherheitsupdate für Ubuntu Linux 14.04 LTS, 16.04 LTS, 16.10 und 17.04 bereit.
Version 4 (2017-06-20 11:34): Für Fedora 24 steht der Firefox Browser in Version 54.0 nun ebenfalls als Sicherheitsupdate bereit, welches sich im Status 'testing' befindet. Damit alle Änderungen wirksam werden ist es erforderlich, nach erfolgter Installation die aktuelle Benutzersitzung zu beenden und sich erneut anzumelden.
Version 5 (2017-06-20 16:37): Für openSUSE Leap 42.2 steht Mozilla Firefox ESR in der Version 52.2 über ein Sicherheitsupdate für die 'Mozilla based packages' bereit. Zusätzlich wird darin Mozilla Network Security Sevices (NSS) in der Version 3.28.5 bereitgestellt, womit allerdings keine Schwachstellen behoben, sondern nur Bugfixes bereitgestellt werden.
Version 6 (2017-06-26 19:11): Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP2, Server 12 LTSS, 12 SP1 LTSS und 12 SP2, Server for Raspberry Pi 12 SP2, Server for SAP 12 und 12 SP1, Desktop 12 SP2 sowie für SUSE OpenStack Cloud 6 steht der Mozilla Firefox ESR Browser in der Version 52.2 als Sicherheitsupdate bereit. Gleichzeitig werden mit den Sicherheitsupdates die Schwachstellen der Version 52.1 aus dem Mozilla Foundation Security Advisory MFSA 2017-12 behoben.
Version 7 (2017-08-23 12:11): Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, Server 11 SP4 und 11 SP3 LTSS, Debuginfo 11 SP3 sowie 11 SP4 stehen Sicherheitsupdates für 'MozillaFirefox', 'MozillaFirefox-branding-SLED', 'firefox-gcc5' und 'mozilla-nss' bereit, mit denen insgesamt 51 Schwachstellen adressiert werden. Neben den Schwachstellen, die mit der Firefox ESR Version 52.2 behoben wurden, werden auch alle Schwachstellen aufgeführt, die mit der ESR Version 52.1 adressiert wurden, da für diese Version für die angegebenen Produkte kein Sicherheitsupdate veröffentlicht wurde. Weiterhin wird die Schwachstelle CVE-2015-5276 in GCC aufgeführt, die einem lokalen, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen ermöglicht.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, die Darstellung falscher Informationen sowie die Durchführung von Denial-of-Service (DoS)-Angriffen. Ein lokaler, nicht authentisierter Angreifer kann zudem Privilegien eskalieren und darüber beliebige Dateien manipulieren, lesen, löschen oder zur Ausführung bringen. Die Schwachstellen CVE-2017-7759 und CVE-2017-7770 betreffen nur Firefox für Android, die Schwachstelle CVE-2017-7763 nur Firefox für Apple Mac OS X und die Schwachstellen CVE-2017-7755, CVE-2017-7760, CVE-2017-7761, CVE-2017-7765, CVE-2017-7766, CVE-2017-7767 und CVE-2017-7768 betreffen ausschließlich Firefox für Microsoft Windows.

Die Mozilla Foundation stellt den Browser Firefox in der Version 54 und das Extended Support Release Firefox ESR in der Version 52.2 bereit, um die Schwachstellen zu beheben.

Das Tor Browser Projekt veröffentlicht zur Behebung der Schwachstellen die auf Firefox ESR 52.2 basierende stabile Version 7.0.1 des Browsers und verwendet darin nun die Tor-Version 0.3.0.8 sowie die HTTPS-Everywhere-Version 5.2.18. Desweiteren wird die Alpha-Version 7.5a1 des Tor-Browsers zur Verfügung gestellt, welche ebenfalls auf Firefox ESR 52.2 basiert.

Für Fedora 25 und 26 steht der Firefox Browser in der Version 54.0 als Sicherheitsupdate im Status 'pending' bereit. Damit alle Änderungen wirksam werden ist es erforderlich, nach erfolgter Installation die aktuelle Benutzersitzung zu beenden und sich erneut anzumelden.

Für die Red Hat Enterprise Linux Produkte Desktop, Server und Workstation in Version 6 und 7 sowie für Red Hat Enterprise Linux HPC Node 6 und Red Hat Enterprise Linux Server TUS 7.3 stehen Sicherheitsupdates auf die Version Firefox 52.2.0 ESR bereit.

Schwachstellen:

CVE-2017-5470

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen Programmcodes