DFN-CERT

Advisory-Archiv

2018-0519: Mozilla Firefox, Firefox ESR, Tor Browser: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-03-19 11:32)
Neues Advisory
Version 2 (2018-03-20 10:43)
Für Oracle Linux 6 und 7 steht ein Sicherheitsupdate für Firefox ESR auf Version 52.7.2 bereit, mit dem die Schwachstelle CVE-2018-5146 behoben wird.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Zwei Schwachstellen in Firefox, Firefox ESR sowie dem auf Firefox ESR basierenden Tor Browser ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten des Benutzers. Die Schwachstelle CVE-2018-5146 in libvorbis gilt für Firefox Desktop-Clients. Die identische Schwachstelle CVE-2018-5147 (libtremor) gilt dabei für Software auf ARM-Architekturen, wie etwa die Firefox App für Android Geräte.

Der Hersteller stellt Mozilla Firefox 59.0.1 und Firefox ESR 52.7.2 zur Behebung der Schwachstellen bereit. Auf Basis von Firefox ESR 52.7.2 wird zeitgleich der Tor Browser 7.5.2 zur Verfügung gestellt. Die Schwachstellen wurden im Rahmen des 'Pwn2Own'-Contest auf der alljährlichen CanSecWest-Konferenz entdeckt. Aufgrund des hohen Bekanntheitsgrads der Konferenz ist davon auszugehen, dass die Schwachstellen zeitnah aktiv ausgenutzt werden. Zur Verfügung stehende Sicherheitsupdates sollten daher umgehend installiert werden.

Mehrere Linux-Distributionen haben bereits Sicherheitsupdates auf die neuen Versionen von Firefox und Firefox ESR zur Verfügung gestellt. Die Updates stehen damit unter anderem für Fedora 26 und 27 sowie Ubuntu 17.10, 16.04 LTS und 14.04 LTS (Firefox 59.0.1) beziehungsweise für openSUSE Leap 42.3, Debian Jessie (oldstable) und Stretch (stable) und die aktuellen Produktvarianten von Red Hat Enterprise Linux 6 und 7 (Firefox ESR 52.7.2) zur Verfügung.

Schwachstellen:

CVE-2018-5146 CVE-2018-5147

Schwachstellen in Firefox ermöglichen Ausführung beliebgen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.