2018-0160: Mozilla Firefox, Firefox ESR, Tor Browser, Seamonkey: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-01-24 15:06)

Neues Advisory

Version 2 (2018-01-24 15:44)

Red Hat stellt für Red Hat Enterprise Linux for Scientific Computing 6, für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Desktop, Workstation und Server sowie für die Server 7.4 Produktversionen Advanced Update Support (AUS), Extended Update Support (EUS), 4 Year Extended Update Support und Telco Update Support (TUS) Sicherheitsupdates für 'firefox' auf die Firefox Version 52.6 ESR zur Behebung der betreffenden Schwachstellen bereit. Für Fedora 26 und 27 stehen Sicherheitsupdates für 'firefox' auf Firefox Version 58.0 zur Behebung der Schwachstellen bereit, welche sich derzeit noch im Status 'pending' befinden.

Version 3 (2018-01-25 11:02)

Oracle stellt für Oracle Linux 6 (i386 und x86_64) und Oracle Linux 7 (x86_64) Sicherheitsupdates für Firefox ESR auf Version 52.6 zur Behebung der Schwachstellen zur Verfügung. openSUSE stellt Sicherheitsupdates auf die Firefox ESR Version 52.6 für die Distributionen openSUSE Leap 42.2 und openSUSE Leap 42.3 bereit. Und Canonical aktualisiert für Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 17.10 auf die Firefox Version 58, um die Schwachstellen zu beheben.

Version 4 (2018-01-25 12:49)

Debian stellt für die Distributionen Jessie (oldstable) und Stretch (stable) Sicherheitsupdates auf die Firefox ESR Version 52.6 bereit, um die betreffenden Schwachstellen zu beheben.

Version 5 (2018-01-29 11:20)

Für Fedora 26 und 27 stehen erneut Sicherheitsupdates (in Form der Pakete firefox-58.0-4.fc26 und firefox-58.0-4.fc27) im Status 'stable' bereit. Das frühere Update FEDORA-2018-e878bbd08a (firefox-58.0-3.fc26) wurde in den Status 'obsolete' versetzt und deshalb hier entfernt, während sich das Update FEDORA-2018-781b88f72d (firefox-58.0-3.fc27) im Status 'stable' befindet.

Version 6 (2018-02-05 13:41)

Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, Server 11 SP4 und 11 SP3 LTSS sowie Debuginfo 11 SP4 und 11 SP3 stehen Sicherheitsupdates auf die MozillaFirefox ESR Version 52.6 bereit, um die betreffenden Schwachstellen zu beheben.

Version 7 (2018-02-06 18:58)

Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP2 und 12 SP3, Server 12 SP1 LTSS, 12 SP2 und 12 SP3, Server for SAP 12 SP1, Server for Raspberry Pi 12 SP2, Desktop 12 SP2 und 12 SP3 sowie SUSE OpenStack Cloud 6 stehen Sicherheitsupdates auf die MozillaFirefox ESR Version 52.6 bereit, um die betreffenden 11 Schwachstellen zu beheben.

Version 8 (2018-02-13 15:32)

Canonical informiert mit USN-3544-2 darüber, dass mit USN-3544-1 zur Behebung der Schwachstellen in Firefox eine Regression bezüglich der Web-Kompatibilität und ein Absturz eines Tabs während des Druckens in einigen Situationen eingeführt wurde. Mit dem neuen Sicherheitsupdate wird diese Regression behoben.

Version 9 (2018-02-15 18:37)

Für Fedora 26 und 27 stehen Sicherheitsupdates auf die Firefox Version 58.0.2 im Status 'testing' bereit, mit denen das Problem des Absturzes eines Tabs während des Druckens behoben wird. Die früheren Sicherheitsupdates auf die Firefox Versionen 58.0 und 58.0.1 verbleiben alle im Status 'stable'.

Version 10 (2018-02-19 11:39)

Für Fedora EPEL 6 und 7 sowie Fedora 26 und 27 stehen Sicherheitsupdates für Seamonkey im Form des Paketes 'seamonkey-2.49.2-2' im Status 'testing' zur Behebung der Schwachstellen bereit, welche im Firefox 52.6 ESR und Thunderbird 52.6 ESR Release behoben wurden.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen, die Darstellung falscher Informationen und das Umgehen von Sicherheitsvorkehrungen mit Hilfe speziell präparierter Webseiten und Erweiterungen. Besonders im Fokus stehen in diesem Sicherheitsupdate Probleme mit der mit Firefox 57 eingeführten Erweiterungsarchitektur 'WebExtensions', die auch lokalen Angreifern verschiedene Angriffe ermöglichen. Zwei der Schwachstellen betreffen laut Hersteller nur Mozilla Firefox auf Mac OS X, eine der Schwachstellen betrifft nur Mozilla Firefox ESR.

Der Hersteller stellt Mozilla Firefox 58 und Firefox ESR 52.6 zur Behebung der Schwachstellen bereit. Der Hersteller weist darauf hin, dass Benutzerprofile, die mit dieser Version erstellt werden, nicht mit älteren Versionen von Firefox kompatibel sind. Zusätzlich werden erste Maßnahmen gegen die Weiterverwendung der von der Symantec Root-CA ausgestellten Zertifikate eingeführt, die schrittweise im Mai 2018 (Firefox 60) und Oktober 2018 (Firefox 63) praktisch umgesetzt werden sollen.

Auf Basis von Firefox ESR 52.6 wird zeitgleich der Tor Browser 7.5 zur Verfügung gestellt. Dieser wird mit Tor 0.3.2.9, OpenSSL 1.0.2n und weiteren Härtungen gegen häufige Angriffe ausgeliefert.

Schwachstellen:

CVE-2018-5089

Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-5090

Schwachstellen in Mozilla Firefox ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-5091

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-5092

Schwachstelle in Mozilla Firefox ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-5093

Schwachstelle in Mozilla Firefox ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-5094

Schwachstelle in Mozilla Firefox ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-5095

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-5096

Schwachstelle in Mozilla Firefox ESR ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-5097

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-5098

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-5099

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-5100

Schwachstelle in Mozilla Firefox ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-5101

Schwachstelle in Mozilla Firefox ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-5102

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-5103

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-5104

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-5105

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-5106

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2018-5107

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2018-5108

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2018-5109

Schwachstelle in Mozilla Firefox ermöglicht Darstellung falscher Informationen

CVE-2018-5110

Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff

CVE-2018-5111

Schwachstelle in Mozilla Firefox ermöglicht Darstellung falscher Informationen

CVE-2018-5112

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-5113

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-5114

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2018-5115

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2018-5116

Schwachstelle in Mozilla Firefox ermöglicht Darstellung falscher Informationen

CVE-2018-5117

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Darstellung falscher Informationen

CVE-2018-5118

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2018-5119

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-5121

Schwachstelle in Mozilla Firefox ermöglicht Darstellung falscher Informationen

CVE-2018-5122

Schwachstelle in Mozilla Firefox ermöglicht Ausführung beliebigen Prorgammcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.