2018-0485: Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-03-14 09:43)
- Neues Advisory
- Version 2 (2018-03-15 11:39)
- Canonical veröffentlicht für die Distributionen Ubuntu 17.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates auf die Firefox Version 59. Für openSUSE Leap 42.3 steht ein Sicherheitsupdate auf die Firefox ESR Version 52.7 zur Verfügung.
- Version 3 (2018-03-15 17:21)
- Für Red Hat Enterprise Linux 6 und 7 stehen Sicherheitsupdates für Firefox ESR auf Version 52.7 bereit. Die Updates werden damit unter anderem für Red Hat Enterprise Linux Desktop, Server und Workstation in den Versionen 6 und 7 sowie für Red Hat Enterprise Linux for Scientific Computing 6 und Red Hat Enterprise Linux for ARM 64 7 zur Verfügung gestellt. Weitere Sicherheitsupdates stehen für die speziellen Editionen Red Hat Enterprise Linux Server AUS, EUS, 4 year EUS und TUS in Version 7.4 bereit. Des weiteren wurden für Fedora 26 und 27 Sicherheitsupdates veröffentlicht, mit denen Firefox auf Version 59 aktualisiert wird. Die Sicherheitsupdates befinden sich noch im Status 'pending'. Bei vorher veröffentlichten Sicherheitsupdates für diese Distributionen kam es zunächst Problemen, die mittlerweile behoben zu sein scheinen. Die vorab veröffentlichten Sicherheitsupdates wurden in den Status 'obsolete' oder 'unpushed' versetzt.
- Version 4 (2018-03-15 19:06)
- Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen jetzt ebenfalls Sicherheitsupdates für 'firefox' auf die Version 52.7.0 ESR zur Behebung der betreffenden Schwachstellen bereit.
- Version 5 (2018-03-16 12:47)
- Für Debian Jessie (oldstable) und Stretch (stable) stehen Sicherheitsupdates auf Firefox ESR 52.7.1 zur Verfügung, um die für Firefox ESR relevanten Schwachstellen zu adressieren. Dieses neue Release von Firefox ESR 52.7 behebt keine zusätzlichen Schwachstellen.
- Version 6 (2018-04-09 16:09)
- Das Sicherheitsupdate USN-3596-1 für Ubuntu 14.04 LTS und 16.04 LTS hat zu einer Regression in Firefox geführt, die mit einem neuen Update (USN-3596-2) behoben werden soll.
Betroffene Software
Office
Sicherheit
Betroffene Plattformen
Apple
Google
Linux
Microsoft
Oracle
Beschreibung:
Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen einem zumeist entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen, die Darstellung falscher Informationen, die Durchführung von Denial-of-Service (DoS)-Angriffen und das Umgehen von Sicherheitsvorkehrungen mit Hilfe speziell präparierter Webseiten und Erweiterungen. Eine der Schwachstellen betrifft nur Firefox für Android.
Der Hersteller stellt Mozilla Firefox 59 und Firefox ESR 52.7 zur Behebung der Schwachstellen bereit. Der Hersteller weist darauf hin, dass Benutzer von Windows 7 nach dem Update möglicherweise von Browser-Abstürzen betroffen sind, wenn sie bestimmte Bedienungshilfen verwenden. Für dieses Problem kann über die Release Notes des Herstellers ein Workaround gefunden werden.
Auf Basis von Firefox ESR 52.7 wird zeitgleich der Tor Browser 7.5.1 zur Verfügung gestellt. Dieser wird mit Tor 0.3.2.10 und weiteren Härtungen gegen häufige Angriffe ausgeliefert.
Schwachstellen:
CVE-2018-5125
Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen ProgrammcodesCVE-2018-5126
Schwachstellen in Mozilla Firefox ermöglichen Ausführung beliebigen ProgrammcodesCVE-2018-5127
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-5128
Schwachstelle in Mozilla Firefox ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-5129
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausbruch aus der SandboxCVE-2018-5130
Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-5131
Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausspähen von InformationenCVE-2018-5132
Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von InformationenCVE-2018-5133
Schwachstelle in Mozilla Firefox ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-5134
Schwachstelle in Mozilla Firefox ermöglicht PrivilegieneskalationCVE-2018-5135
Schwachstelle in Mozilla Firefox ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-5136
Schwachstelle in Mozilla Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-5137
Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von InformationenCVE-2018-5138
Schwachstelle in Mozilla Firefox für Android ermöglicht Darstellung falscher InformationenCVE-2018-5140
Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von InformationenCVE-2018-5141
Schwachstelle in Mozilla Firefox ermöglicht Darstellen falscher Informationen oder Denial-of-Service-AngriffCVE-2018-5142
Schwachstelle in Mozilla Firefox ermöglicht Darstellen falscher InformationenCVE-2018-5143
Schwachstelle in Mozilla Firefox ermöglicht Cross-Site-Scripting-AngriffCVE-2018-5144
Schwachstelle in Mozilla Firefox ESR und Thunderbird ermöglicht vermutlich Denial-of-Service-AngriffCVE-2018-5145
Schwachstellen in Mozilla Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.