2017-2019: Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2017-11-13 19:05)
- Neues Advisory
- Version 2 (2017-11-15 11:32)
- Die Mozilla Foundation veröffentlicht Informationen zu den mit Mozilla Firefox 57 und Firefox ESR 52.5 geschlossenen Schwachstellen. Die Sicherheitsupdates sind ab sofort als Download verfügbar.
- Version 3 (2017-11-15 13:51)
- Das Tor Browser Projekt veröffentlicht zur Behebung der Schwachstellen die auf Firefox ESR 52.5 basierende stabile Version 7.0.10 des Browsers und verwendet darin nun die Tor-Version 0.3.1.8 sowie die HTTPS-Everywhere-Version 2017.10.30.
- Version 4 (2017-11-16 11:06)
- Für die stabile Distribution Stretch und die alte stabile Distribution Jessie stehen Sicherheitsupdates auf die Firefox ESR Version 52.5 bereit.
- Version 5 (2017-11-16 18:30)
- Canonical veröffentlicht Version 57.0 des Browsers Mozilla Firefox für Ubuntu Linux 14.04 LTS, 16.04 LTS, 17.04 und 17.10 zur Behebung der Schwachstellen.
- Version 6 (2017-11-17 10:32)
- openSUSE stellt für die Distributionen openSUSE Leap 42.2 und 42.3 Sicherheitsupdates auf die Firefox ESR Version 52.5 bereit.
- Version 7 (2017-11-20 13:38)
- Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Server, Desktop und Workstation sowie für Linux 7 ARM, Linux for Scientific Computing 6 und die Server Produktversionen Extended Update Support (EUS) 7.4, Advanced Update Support (AUS) 7.4 und Telco Update Support (TUS) 7.4 den Firefox ESR Browser in der Version 52.5 als Sicherheitsupdate bereit. Oracle stell für die Distributionen Oracle Linux 6 und 7 Sicherheitsupdates auf Firefox ESR Version 52.5 zur Behebung der Schwachstellen bereit.
- Version 8 (2017-11-28 11:35)
- Canonical veröffentlicht die Meldung Ubuntu Security Notice USN-3477-2, um darüber zu informieren, dass die mit der Meldung USN-3477-1 verteilten Sicherheitsupdates eine Regression in Form einer fehlenden Anzeige bei der Benutzung der Google-Suche eingeführt haben. Diese Regression wird mit den jetzt zur Verfügung stehenden Updates USN-3477-2 behoben.
- Version 9 (2017-12-04 12:02)
- In einem erneuten Sicherheitsupdate für die aktuellen Ubuntu-Versionen wird Firefox auf Version 57.0.1 aktualisiert. Das Sicherheitsupdate USN-3477-3 behandelt wiederum die durch USN-3477-1 eingeführten Regressionen und zusätzlich ein Sicherheitsproblem mit bereits vor Einführung der neuen WebExtension-Erweiterungen installierten Such-Plugins.
- Version 10 (2017-12-06 10:47)
- SUSE stellt für SUSE OpenStack Cloud 6 sowie die SUSE Linux Enterprise Produktvarianten Software Development Kit 12 SP2 und 12 SP3, Server for SAP 12 SP1, Server for Raspberry Pi 12 SP2, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3 sowie Desktop 12 SP2 und 12 SP3 Sicherheitsupdates für Firefox 52.5 ESR zur Behebung der Schwachstellen CVE-2017-7826, CVE-2017-7828 und CVE-2017-7830 bereit.
- Version 11 (2017-12-08 11:23)
- Für SUSE Linux Enterprise Software Development Kit 11 SP4, SUSE Linux Enterprise Debuginfo 11 SP3 und SP4 sowie für SUSE Linux Enterprise Server 11 SP3 LTSS und 11 SP4 steht Firefox ESR 52.5 als Sicherheitsupdate zur Behebung der entsprechenden Schwachstellen zur Verfügung.
- Version 12 (2018-01-03 17:19)
- Canonical stellt für Ubuntu Linux 14.04 LTS, 16.04 LTS, 17.04 und 17.10 Firefox 57.0.3 als Sicherheitsupdate zur Verfügung. Mit diesem Update wird eine mit Firefox 57 eingeführte Regression behoben, die dazu geführt hat, dass Absturzberichte für Tabs im Hintergrund ohne Einwilligung des Benutzers an Mozilla gesendet wurden. Dieses Problem betrifft alle Installationen von Mozilla Firefox, wird aber nicht von allen Distributionen als sicherheitsrelevant angesehen. Für openSUSE Leap 42.2 und 42.3 steht ein empfohlenes Update auf Firefox 57.0.3 bereit.
Betroffene Software
Office
Sicherheit
Betroffene Plattformen
Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle
Beschreibung:
Mehrere Schwachstellen in Mozilla Firefox 56 und möglicherweise früheren Versionen ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, die Darstellung falscher Informationen, das Ausspähen von Informationen und das Umgehen verschiedener Sicherheitsvorkehrungen. Eine weitere Schwachstelle ermöglicht einem lokalen, einfach authentisierten Angreifer die Eskalation seiner Privilegien und dadurch die Ausführung beliebigen Programmcodes mit den Rechten des Browsers.
Mehrere Schwachstellen, die unter zwei CVE-Bezeichnern (CVE-2017-7826, CVE-2017-7828) zusammengefasst sind, betreffen auch Mozilla Firefox ESR 52.4 und können zur Ausführung beliebigen Programmcodes ausgenutzt werden, wie auch eine Schwachstelle (CVE-2017-7830), die das Ausspähen von Informationen ermöglicht.
Die Mozilla Foundation stellt den Browser Firefox in der Version 57 und das Extended Support Release Firefox ESR in der Version 52.5 bereit, um die Schwachstellen zu beheben. Die neue Version 57 von Mozilla Firefox bringt tiefgreifende Veränderungen mit sich, die unter anderem auch die Funktionalität von Browser-Erweiterungen beeinträchtigen können. So werden veraltete auf XUL basierende Extensions nicht mehr unterstützt, sondern ausschließlich der neuere Typ 'WebExtension'. Über die mit dem 'Project Quantum' einhergehenden Änderungen wurden die Entwickler von Browser-Erweiterungen bereits vor längerer Zeit informiert. Für weitere Details sei auf den referenzierten Fedora Magazine Artikel verwiesen.
Für Fedora 25, 26 und 27 steht Firefox 57 als Sicherheitsupdate im Status 'testing' zur Verfügung.
Schwachstellen:
CVE-2017-7826
Schwachstellen in Mozilla Firefox, Firefox ESR, Thunderbird und Seamonkey ermöglichen Ausführung beliebigen ProgrammcodesCVE-2017-7827
Schwachstellen in Mozilla Firefox ermöglichen Ausführung beliebigen ProgrammcodesCVE-2017-7828
Schwachstelle in Mozilla Firefox, Thunderbird und Seamonkey ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-7830
Schwachstelle in Mozilla Firefox, Thunderbird und Seamonkey ermöglicht Ausspähen von InformationenCVE-2017-7831
Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von InformationenCVE-2017-7832
Schwachstelle in Mozilla Firefox ermöglicht Darstellung falscher InformationenCVE-2017-7833
Schwachstelle in Mozilla Firefox ermöglicht Darstellung falscher InformationenCVE-2017-7834
Schwachstelle in Mozilla Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-7835
Schwachstelle in Mozilla Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-7836
Schwachstelle in Mozilla Firefox ermöglicht PrivilegieneskalationCVE-2017-7837
Schwachstelle in Mozilla Firefox ermöglicht Manipulation von DateienCVE-2017-7838
Schwachstelle in Mozilla Firefox ermöglicht Darstellung falscher InformationenCVE-2017-7839
Schwachstelle in Mozilla Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-7840
Schwachstelle in Mozilla Firefox ermöglicht Auführung beliebigen ProgrammcodesCVE-2017-7842
Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.