2017-2195: Mozilla Firefox, Firefox ESR: Zwei Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2017-12-05 12:54)

Neues Advisory

Version 2 (2017-12-05 16:38)

Red Hat stellt für Red Hat Enterprise Linux for Scientific Computing 6, für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Desktop, Workstation und Server sowie für die Server 7.4 Produktversionen Advanced Update Support (AUS), Extended Update Support (EUS), 4 Year Extended Update Support und Telco Update Support (TUS) Sicherheitsupdates auf die Firefox Version 52.5.1 ESR zur Behebung der Schwachstelle CVE-2017-7843 bereit.

Version 3 (2017-12-06 10:37)

Oracle stellt für Oracle Linux 6 (i386, x86_64) und 7 (x86_64) Sicherheitsupdates auf die Firefox ESR Version 52.5.1 zur Behebung der Schwachstelle CVE-2017-7843 bereit.

Version 4 (2017-12-08 10:38)

Mozilla veröffentlicht Firefox 57.0.2 zur Behebung einer Regression, die in der zwischenzeitlich veröffentlichten Version Firefox 57.0.1 aufgetreten ist. Die Schwachstelle CVE-2017-7845 ermöglicht einem entfernten, nicht authentisierten Angreifer auf Windows-Systemen die Ausführung beliebigen Programmcodes. Diese Schwachstelle wird ebenfalls mit Mozilla Firefox ESR 52.5.2 behoben. Da die Version Firefox ESR 52.5.1 aufgrund der Regression kurz nach Veröffentlichung wieder zurückgezogen wurde, behebt das Sicherheitsupdate für Firefox ESR zusätzlich die dort eigentlich adressierte Schwachstelle CVE-2017-7843.

Version 5 (2017-12-11 13:10)

Debian stellt für die Distributionen Jessie (oldstable) 8.10 und Stretch (stable) 9.3 Sicherheitsupdates für Firefox auf die ESR Version 52.5.2 zur Verfügung, welche die Schwachstelle CVE-2017-7843 adressieren.

Version 6 (2017-12-13 10:49)

openSUSE veröffentlicht für die Distributionen openSUSE Leap 42.2 und 42.3 Sicherheitsupdates auf die Firefox ESR Version 52.5.2 über welche die Schwachstelle CVE-2017-7843 adressiert wird.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Eine Schwachstelle in Mozilla Firefox ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen. Eine weitere Schwachstelle, die allerdings nur in der Firefox Version 57 existiert, ermöglicht einem solchen Angreifer zusätzlich das Ausspähen von Informationen. Der Hersteller behebt die beiden Schwachstellen mit der außerhalb der üblichen Release-Zyklen veröffentlichten Firefox Version 57.0.1 und stuft das Sicherheitsupdate als kritisch ein, obwohl die Kritikalität der einzelnen behobenen Schwachstellen 'nur' jeweils mit 'high' bewertet wird.

Für die Distributionen Fedora 25, 26 und 27 stehen Sicherheitsupdates auf diese Firefox Version im Status 'testing' zur Verfügung.

Schwachstellen:

CVE-2017-7843

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-7844

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2017-7845

Schwachstelle in Mozilla Firefox, Firefox ESR und Mozilla Thunderbird ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.