DFN-CERT

Advisory-Archiv

2018-1082: Mozilla Firefox: Eine Schwachstelle ermöglicht u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-06-07 13:43)
Neues Advisory
Version 2 (2018-06-11 11:59)
Für openSUSE Leap 42.3 und openSUSE Leap 15.0 stehen Sicherheitsupdates bereit, mit denen Firefox ESR auf Version 60.0.2 aktualisiert wird. Das Tor Browser Projekt stellt mit dem Tor Browser 7.5.5 einen aktualisierten Browser auf Basis von Firefox ESR 52.8.1 zur Behebung der Schwachstelle bereit.
Version 3 (2018-06-11 13:34)
Für Debian Jessie (oldstable) 8.10 und Stretch (stable) 9.4 stehen Sicherheitsupdates für 'firefox-esr' auf Version 52.8.1 zur Behebung der Schwachstelle bereit.
Version 4 (2018-06-13 11:40)
Canonical veröffentlicht für die Distributionen Ubuntu 14.04 LTS, Ubuntu 16.04 LTS, Ubuntu 17.10 und Ubuntu 18.04 LTS Sicherheitsupdates auf die Firefox Version 60.0.2, um die Schwachstelle zu beheben.
Version 5 (2018-06-25 13:14)
Für SUSE OpenStack Cloud 7, SUSE Enterprise Storage 4 und für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP3, Server for SAP 12 SP2 und SP1, Server 12 SP3, SP2 LTSS, SP1 LTSS und 12 LTSS sowie für Desktop 12 SP3 stehen Sicherheitsupdates für 'MozillaFirefox' zur Behebung der Schwachstelle bereit.
Version 6 (2018-06-27 18:09)
Unter anderem für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4 sowie Server 11 SP3 LTSS und 11 SP4 stehen Sicherheitsupdates für 'MozillaFirefox' zur Behebung der Schwachstelle bereit.
Version 7 (2018-08-13 12:17)
Für Fedora 27 und 28 stehen Sicherheitsupdates in Form der Pakete 'firefox-61.0.2-1.fc27' und 'firefox-61.0.2-1.fc28' im Status 'testing' bereit.
Version 8 (2018-10-19 14:00)
SUSE stellt für SUSE Linux Enterprise Server 12 SP2 BCL ein Sicherheitsupdate zur Behebung der Schwachstelle zur Verfügung.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Google
Linux
Microsoft

Beschreibung:

Eine Schwachstelle in der von Firefox verwendeten Bibliothek Skia kann von einem entfernten, nicht authentisierten Angreifer mit Hilfe einer präparierten SVG-Datei mit abgeschaltetem Anti-Aliasing ausgenutzt werden, um einen Denial-of-Service (DoS)-Angriff durchzuführen oder möglicherweise beliebigen Programmcode zur Ausführung zu bringen. Mozilla verwendet hierfür den Begriff 'potentially exploitable crash'.

Der Hersteller stellt Mozilla Firefox 60.0.2, Firefox ESR 60.0.2 und Firefox ESR 52.8.1 zur Behebung der Schwachstelle zur Verfügung.

Schwachstellen:

CVE-2018-6126

Schwachstelle in Skia ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.