2017-1710: Mozilla Firefox, Firefox ESR, NSS, Tor Browser: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2017-09-29 14:04)
- Neues Advisory
- Version 2 (2017-10-02 11:46)
- Für Fedora 25 und 26 stehen Sicherheitsupdates auf den Firefox Browser Version 56 in Form der Pakete 'firefox-56.0-2.fc25' und 'firefox-56.0-2.fc26' im Status 'testing' zur Verfügung. Für Fedora 26 und 27 stehen die Sicherheitsupdates 'firefox-56.0-3.fc26' und 'firefox-56.0-3.fc27' im Status 'pending' bereit. Debian veröffentlicht für die stabile Distribution Stretch sowie die vormals stabile Distribution Jessie den Firefox ESR Browser in der Version 52.4 als Sicherheitsupdate.
- Version 3 (2017-10-04 12:29)
- Canonical stellt Sicherheitsupdates für Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 17.04 auf die Firefox Version 56 bereit. Über eine weitere Meldung (USN-3431-1) wird ein gesondertes Sicherheitsupdate für die Network Security Service (NSS) Bibliothek für eben jene Distributionen veröffentlicht, um die Denial-of-Service-Schwachstelle CVE-2017-7805 zu beheben. Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates auf die Mozilla Firefox 52.4 ESR Version und die NSS Version 3.28.6 zur Verfügung. Und für Oracle VM 3.3 und Oracle VM 3.4 wird die Schwachstelle in der NSS Bibliothek über Backport-Sicherheitsupdates adressiert.
- Version 4 (2017-10-05 11:59)
- Canonical informiert mittels der Ubuntu Security Notice USN-3435-2 darüber, dass das Sicherheitsupdate für den Firefox Browser (USN-3435-1) eine Regression eingeführt hat, die in einigen Fällen dazu führen kann, dass das Flash Plugin abstützt. Canonical behebt die Regression mit den aktualisierten Paketen.
- Version 5 (2017-10-10 17:56)
- Für SUSE OpenStack Cloud 6, die SUSE Linux Enterprise Produkte Software Development Kit und Desktop jeweils in den Versionen 12 SP2 und 12 SP3, SUSE Linux Enterprise Server 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3, Server for SAP 12 SP1, Server for Raspberry Pi 12 SP2 sowie SUSE Container as a Service Platform ALL stehen Sicherheitsupdates für Mozilla Firefox auf die Version ESR 52.4 bereit.
- Version 6 (2017-10-12 14:50)
- Debian veröffentlicht für die Distributionen Jessie (old stable), Stretch (stable und mittlerweile Version 9.2) sowie Buster (testing) Sicherheitsupdates für NSS, um die Schwachstelle CVE-2017-7805 zu beheben.
- Version 7 (2017-10-30 11:08)
- Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, Server 11 SP4 und 11 SP3 LTSS sowie Debuginfo 11 SP4 und 11 SP3 stehen Sicherheitsupdates auf die Firefox ESR Version 52.4 und für Mozilla NSS bereit.
- Version 8 (2017-11-14 11:10)
- Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4 sowie Server 11 SP4 und 11 SP3 LTSS stehen neue Sicherheitsupdates auf die Firefox ESR Version 52.4 und für Mozilla NSS bereit.
Betroffene Software
Office
Sicherheit
Systemsoftware
Betroffene Plattformen
Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle
Beschreibung:
Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, die Darstellung falscher Informationen sowie die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs und verschiedene Denial-of-Service (DoS)-Angriffe. Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen und beliebige lokale Dateien zu öffnen. Die Schwachstelle CVE-2017-7817 betrifft nur Firefox für Android und die Schwachstelle CVE-2017-7825 nur Firefox für Mac OS X-Betriebssysteme.
Die Mozilla Foundation stellt den Browser Firefox in der Version 56 und das Extended Support Release Firefox ESR in der Version 52.4 bereit, um die Schwachstellen zu beheben.
Das Tor Browser Projekt veröffentlicht zur Behebung der Schwachstellen die auf Firefox ESR 52.4 basierende stabile Version 7.0.6 des Browsers und verwendet darin nun die Tor-Version 0.3.1.7 sowie die HTTPS-Everywhere-Version 2017.9.12. Des weiteren wird die Alpha-Version 7.5a5 des Tor-Browsers zur Verfügung gestellt, welche ebenfalls auf Firefox ESR 52.4 basiert.
Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Server, Desktop und Workstation sowie für Server for ARM 7, Linux for Scientific Computing 6 und die Server Produktversionen Extended Update Support (EUS) 7.4, Advanced Update Support (AUS) 7.4 und Telco Update Support (TUS) 7.4 den Firefox ESR Browser in der Version 52.4 als Sicherheitsupdate bereit. Die Schwachstelle CVE-2017-7805 in den Network Security Services (NSS) adressiert Red Hat mittels eines gesonderten Sicherheitsupdates (RHSA-2017:2832) für 'nss', welches zusätzlich auch für die Produktvarianten Linux for Scientific Computing 7 und Compute Node Extended Update Support (EUS) 7.4 bereitsteht.
Oracle stellt für Oracle Linux 6 (i386, x86_64) und 7 (x86_64) den Firefox ESR Browser in der Version 52.4 als Sicherheitsupdate bereit. Für die Network Security Services (NSS) steht ebenfalls ein gesondertes Sicherheitsupdate (ELSA-2017-2832) für Oracle Linux 6 (x86_64) und 7 (x86_64) bereit, um die Schwachstelle CVE-2017-7805 zu beheben.
Schwachstellen:
CVE-2017-7793
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-AngriffCVE-2017-7805
Schwachstelle in NSS ermöglicht Denial-of-Service-AngriffCVE-2017-7810
Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen ProgrammcodesCVE-2017-7811
Schwachstellen in Mozilla Firefox ermöglichen Ausführung beliebigen ProgrammcodesCVE-2017-7812
Schwachstelle in Mozilla Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-7813
Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff und Ausspähen von InformationenCVE-2017-7814
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-7815
Schwachstelle in Mozilla Firefox ermöglicht Darstellen falscher InformationenCVE-2017-7816
Schwachstelle in Mozilla Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-7817
Schwachstelle in Firefox for Android ermöglicht Darstellen falscher InformationenCVE-2017-7818
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-AngriffCVE-2017-7819
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-AngriffCVE-2017-7820
Schwachstelle in Mozilla Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-7821
Schwachstelle in Mozilla Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-7822
Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von InformationenCVE-2017-7823
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Cross-Site-Scripting-AngriffCVE-2017-7824
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-AngriffCVE-2017-7825
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.