2017-1392: Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-08-09 18:49)

Neues Advisory

Version 2 (2017-08-11 12:03)

Debian veröffentlicht für die alte stabile Distribution Jessie und die stabile Distribution Stretch Sicherheitsupdates auf die Firefox ESR Version 52.3.0, um die für die ESR Version relevanten Schwachstellen zu schließen. Red Hat stellt für die Red Hat Enterprise Linux Produkte Server 6, 7, for ARM 7, 7.4 AUS, 7.4 EUS und 7.4 TUS, Workstation 6 und 7, Desktop 6 und 7 sowie for Scientific Computing 6 ebenfalls ein Sicherheitsupdate für Firefox auf die Version 52.3.0 ESR bereit. Für Fedora 25 und 26 steht der Firefox-Browser in der Version 55 als Sicherheitsupdate im Status 'pending' zur Verfügung.

Version 3 (2017-08-14 12:23)

Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) sowie für openSUSE Leap 42.3 und openSUSE Leap 42.2 steht Firefox ESR in der Version 52.3.0 als Sicherheitsupdate bereit. Für Fedora 26 steht ein aktualisiertes Sicherheitsupdate in Form des Paketes 'firefox-55.0-6.fc26' im Status 'testing' bereit. Das zuvor mit der Sicherheitsmeldung FEDORA-2017-4c39f348a8 veröffentlichte Paket 'firefox-55.0-5.fc26' ist in den Status 'obsolete' versetzt worden, die entsprechende Referenz wurde dementsprechend entfernt.

Version 4 (2017-08-16 12:07)

Canonical stellt für die Distributionen Ubuntu 17.04, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS den Firefox Browser in der Version 55 als Sicherheitsupdate bereit.

Version 5 (2017-08-16 19:42)

Canonical stellt für die Distributionen Ubuntu 17.04, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS außerdem das zu USN-3391-1 korrespondierende Sicherheitsupdate für Ubufox - Ubuntu Firefox spezifische Konfigurationsvoreinstellungen und APT-Unterstützung - bereit.

Version 6 (2017-08-18 12:45)

Canonical stellt für die Distributionen Ubuntu 17.04, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS aktualisierte Sicherheitsupdates für den Firefox Browser bereit, welche eine mit den zuvor veröffentlichten Sicherheitsupdates eingeführte Regression beheben, wodurch es zu Leistungsproblemen mit 'WebExtensions' gekommen ist. Die Sicherheitsupdates dieser Veröffentlichung ersetzen die Sicherheitsupdates aus der Sicherheitsmeldung USN-3391-1.

Version 7 (2017-08-31 11:05)

Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, Server 11 SP3 LTSS und 11 SP4 sowie Debuginfo 11 SP3 und 11 SP4 stehen Sicherheitsupdates für Mozilla Firefox auf das ESR 52.3 Release bereit.

Version 8 (2017-09-12 11:26)

Für Fedora 27 steht Firefox in der Version 55.0.3 als Sicherheitsupdate im Status 'testing' bereit.

Version 9 (2017-09-29 12:20)

Für die SUSE Linux Enterprise Produktvarianten Software Development Kit 12 SP2 und 12 SP3, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3, Desktop 12 SP2 und 12 SP3, Server for Raspberry Pi 12 SP2, Server for SAP 12 SP1 sowie SUSE OpenStack Cloud 6 steht der Mozilla Firefox ESR Browser in der Version 52.3 als Sicherheitsupdate bereit.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, die Darstellung falscher Informationen sowie die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs und verschiedener Denial-of-Service (DoS)-Angriffe. Ein lokaler, nicht authentisierter Angreifer kann darüber hinaus eine Schwachstelle ausnutzen, um lokale Daten zu löschen. Die Schwachstellen CVE-2017-7790 und CVE-2017-7796 betreffen nur Firefox für Windows und die Schwachstelle CVE-2017-7794 nur Firefox für Linux.

Die Mozilla Foundation stellt den Browser Firefox in der Version 55 und das Extended Support Release Firefox ESR in der Version 52.3 bereit, um die Schwachstellen zu beheben.

Das Tor Browser Projekt veröffentlicht zur Behebung der Schwachstellen die auf Firefox ESR 52.3 basierende stabile Version 7.0.4 des Browsers und verwendet darin nun die Tor-Version 0.3.0.10 sowie die HTTPS-Everywhere-Version 5.2.21. Des weiteren wird die Alpha-Version 7.5a4 des Tor-Browsers zur Verfügung gestellt, welche ebenfalls auf Firefox ESR 52.3 basiert.

Schwachstellen:

CVE-2017-7753

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2017-7779

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen Programmcodes

CVE-2017-7780

Schwachstellen in Mozilla Firefox ermöglichen Ausführung beliebigen Programmcodes

CVE-2017-7781

Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff

CVE-2017-7782

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-7783

Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff

CVE-2017-7784

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2017-7785

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Denial-of-Service-Angriff

CVE-2017-7786

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2017-7787

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen und Ausspähen von Informationen

CVE-2017-7788

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-7789

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-7790

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2017-7791

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2017-7792

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2017-7794

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-7796

Schwachstelle in Mozilla Firefox ermöglicht Manipulation von Daten

CVE-2017-7797

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2017-7798

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-7799

Schwachstelle Mozilla Firefox ermöglicht Cross-Site-Scripting-Angriff

CVE-2017-7800

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2017-7801

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2017-7802

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2017-7803

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-7804

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-7806

Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff

CVE-2017-7807

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellung falscher Informationen

CVE-2017-7808

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2017-7809

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.