2018-1227: Mozilla Firefox, Firefox ESR, Tor Browser, SeaMonkey: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-06-27 16:04)

Neues Advisory

Version 2 (2018-06-28 11:42)

Für Debian Stretch (stable) steht ein Sicherheitsupdate für Firefox ESR auf Version 52.9 zur Behebung der Schwachstellen bereit.

Version 3 (2018-06-28 17:23)

Für openSUSE Leap 42.3 und openSUSE Leap 15.0 stehen Sicherheitsupdates für Mozilla Firefox auf Version 60.1.0 ESR bereit, um 14 Schwachstellen zu beheben.

Version 4 (2018-06-29 12:19)

Für Red Hat Enterprise Linux 6 und 7 stehen Sicherheitsupdates bereit, mit denen Firefox ESR auf Version 60.1.0 aktualisiert wird. Die Updates stehen damit unter anderem für Red Hat Enterprise Linux Desktop, Server und Workstation 6 und 7, für Red Hat Enterprise Linux for Scientific Computing 6 sowie für Red Hat Enterprise Linux for ARM 64 7 und Red Hat Enterprise Linux Server Extended Update Support (EUS) 7.5 bereit.

Version 5 (2018-06-29 16:23)

Debian stellt für Debian Jessie 8.11 (LTS) ein Sicherheitsupdate für Firefox ESR auf Version 52.9 bereit, um die Schwachstellen zu beheben.

Version 6 (2018-07-04 13:02)

Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate bereit, mit welchem Firefox ESR auf die Version 60.1.0 aktualisiert wird. Wie auch bereits für die entsprechenden Sicherheitsupdates für Red Hat Enterprise Linux 6 und 7 wird hier zusätzlich die Schwachstelle CVE-2017-7762 referenziert, die schon mit Firefox 54 adressiert wurde und dem entfernten, nicht authentisierten Angreifer das Darstellen falscher Informationen ermöglicht.

Version 7 (2018-07-06 10:58)

Canonical veröffentlicht für die Distributionen Ubuntu 14.04 LTS, Ubuntu 16.04 LTS, Ubuntu 17.10 und Ubuntu 18.04 LTS Sicherheitsupdates für den Firefox Browser, um die Schwachstellen zu beheben.

Version 8 (2018-07-11 11:13)

Canonical veröffentlicht die Ubuntu Security Notice USN-3705-2 und stellt neue Updates für Firefox für die Distributionen Ubuntu 14.04 LTS, 16.04 LTS, 17.10 und 18.04 LTS zur Verfügung, da über das zuvor bereitgestellte Sicherheitsupdate USN-3705-1einige kleinere Regressionen eingeführt wurden. Diese Regressionen werden mit den jetzt verfügbaren Updates adressiert.

Version 9 (2018-07-30 12:23)

Für Fedora 27 und 28 sowie für Fedora EPEL 6 und 7 steht SeaMonkey 2.49.4 auf Basis von Thunderbird 52.9.1 und Firefox ESR 52.9.0 als Sicherheitsupdate im Status 'testing' bereit.

Version 10 (2018-08-10 18:28)

Für SUSE Linux Enterprise Module for Desktop Applications 15 steht ein Sicherheitsupdate für MozillaFirefox auf das 52.9 ESR Release zur Verfügung, womit zusätzlich die Schwachstelle CVE-2018-6126 in Skia adressiert wird, welche das Ausführen beliebigen Programmcodes ermöglicht.

Version 11 (2018-08-15 11:32)

Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4 und 12 SP3, Server for SAP 12 SP1 und 12 SP2, Server 11 SP4, 11 SP3 LTSS, 12 LTSS, 12 SP1 LTSS, 12 SP2 LTSS und 12 SP3, Debuginfo 11 SP3 und 11 SP4 und Desktop 12 SP3 sowie SUSE OpenStack Cloud 7 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates auf die Firefox ESR Version 52.9 zur Verfügung.

Version 12 (2018-09-24 13:12)

Für openSUSE Backports SLE 15 steht ein Sicherheitsupdate für SeaMonkey auf Version 2.49.4 bereit, welches die in MFSA 2018-16 erwähnten Schwachstellen adressiert.

Version 13 (2018-10-19 13:31)

SUSE stellt für SUSE Linux Enterprise Server 12 SP2 BCL ein Sicherheitsupdate auf die Firefox ESR Version 52.9 zur Behebung der Schwachstellen zur Verfügung.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen in Mozilla Firefox, Firefox ESR und dem auf Firefox ESR basierenden Tor Browser ermöglichen einem entfernten, nicht authentisierten Angreifer mit Hilfe speziell präparierter Webseiten oder Erweiterungen für Firefox (WebExtensions) die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen, das Umgehen von Sicherheitsvorkehrungen, die Eskalation von Privilegien sowie Denial-of-Service (DoS)- und Cross-Site-Request-Forgery (CSRF)-Angriffe.

Die Mozilla Foundation stellt Mozilla Firefox 61 sowie Firefox ESR 60.1 und 52.9 zur Behebung der Schwachstellen bereit. Der Hersteller weist darauf hin, dass eine der Schwachstellen nur Benutzer von Windows 10 betrifft (CVE-2018-12368). Die neue Version von Mozilla Firefox unterstützt TLS 1.3 und blockiert den Zugang zu FTP-Ressourcen innerhalb von HTTP- und HTTPS-Webseiten, da FTP-Daten in jedem Fall unverschlüsselt im Klartext versendet werden.

Für Fedora 27 und 28 stehen Sicherheitsupdates auf Firefox 61 in Form von 'firefox-61.0-4'-Paketen im Status 'testing' bereit.

Auf Basis von Firefox ESR 52.9 wird zeitgleich der Tor Browser 7.5.6 zur Verfügung gestellt. Dieser wird mit Tor 0.3.3.7 und weiteren Härtungen gegen häufige Angriffe ausgeliefert.

Schwachstellen:

CVE-2018-12358

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-12359

Schwachstelle in Mozilla Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-12360

Schwachstelle in Mozilla Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-12361

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-12362

Schwachstelle in Mozilla Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-12363

Schwachstelle in Mozilla Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-12364

Schwachstelle in Mozilla Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2018-12365

Schwachstelle in Mozilla Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2018-12366

Schwachstelle in Mozilla Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2018-12367

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2018-12368

Schwachstelle in Mozilla Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-12369

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Privilegieneskalation

CVE-2018-12370

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-12371

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-5156

Schwachstelle in Mozilla Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-5186

Schwachstellen in Mozilla Firefox ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-5187

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-5188

Schwachstellen in Mozilla Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglichen Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.