2018-1800: Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-09-06 15:19)
- Neues Advisory
- Version 2 (2018-09-07 11:52)
- Für Ubuntu 14.04 LTS, 16.04 LTS und 18.04 LTS stehen Sicherheitsupdates für Firefox auf Version 62.0 bereit.
- Version 3 (2018-09-10 11:48)
- Für openSUSE Leap 42.3 und 15.0 sowie Debian Stretch (stable) stehen Sicherheitsupdates für Fireofx ESR auf Version 60.2 bereit. Debian weist darauf hin, dass die umfangreichen Änderungen beim damit erfolgten Versionssprung von Versionszweig 52.x dazu geführt haben, dass einige Erweiterungen für Thunderbird nicht mehr funktionieren. Darüber hinaus werden bestimmte Architekturen aktuell noch nicht unterstützt (armel, armhf, mips, mips64el, mipsel).
- Version 4 (2018-09-12 18:57)
- Für Red Hat Enterprise Linux 6 und 7 stehen Sicherheitsupdates bereit, mit denen Firefox ESR auf Version 60.2 aktualisiert wird. Diese Updates stehen damit unter anderem für Red Hat Enterprise Linux Desktop, Server und Workstation 6 und 7, für Red Hat Enterprise Linux for Scientific Computing 6, für Red Hat Enterprise Linux for ARM 64 7 und für Red Hat Enterprise Linux Server Extended Update Support 7.5 zur Verfügung.
- Version 5 (2018-09-13 11:45)
- Für Oracle Linux 7 steht ein Sicherheitsupdate bereit, mit dem Firefox ESR auf Version 60.2.0 aktualisiert wird.
- Version 6 (2018-09-14 11:36)
- Für Ubuntu 14.04 LTS, 16.04 LTS und 18.04 LTS steht ein neues Sicherheitsupdate bereit, mit dem durch das erste Update USN-3761-1 aufgetretene Regressionen behoben werden.
- Version 7 (2018-09-25 12:41)
- Für Oracle Linux 6 steht ein Sicherheitsupdate für Firefox auf Version 60.2 ESR bereit.
- Version 8 (2018-09-27 17:59)
- Für SUSE Linux Enterprise Module for Desktop Applications 15 steht ein Sicherheitsupdate für MozillaFirefox auf Version 60.2 ESR bereit.
Betroffene Software
Office
Sicherheit
Betroffene Plattformen
Apple
Google
Linux
Microsoft
Oracle
Beschreibung:
Mehrere Schwachstellen in Mozilla Firefox, Firefox ESR und dem Tor Browser ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und die Darstellung falscher Informationen. Ein lokaler, nicht authentisierter Angreifer kann ebenfalls vergleichbare Angriffe ausführen und darüber hinaus Informationen ausspähen. Eine der Schwachstellen ermöglicht einem entfernten Angreifer das Umgehen von Sicherheitsvorkehrungen, wenn er ein betroffenes System vorher lokal manipulieren konnte oder einen Benutzer des Systems zur Manipulation desselben verleiten kann.
Die Mozilla Foundation stellt Mozilla Firefox 62 sowie Firefox ESR 60.2 zur Behebung der Schwachstellen bereit. Der Hersteller weist darauf hin, dass einzelne Schwachstellen nur Benutzer von Windows (CVE-2018-12381), macOS und Linux (CVE-2017-16541) oder Google Android (CVE-2018-12382) betreffen.
Auf Basis von Firefox ESR 60.2 wird zeitgleich der Tor Browser 8.0 zur Verfügung gestellt. Dieser wird mit Tor 0.3.3.9, OpenSSL 1.0.2p und weiteren Härtungen gegen häufige Angriffe ausgeliefert.
Für Fedora 27 und 28 stehen Sicherheitsupdates auf Firefox 62 im Status 'testing' (Fedora 27) und 'pending' (Fedora 28) bereit.
Schwachstellen:
CVE-2017-16541
Schwachstelle in Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-12375
Schwachstellen in Mozilla Firefox ermöglichen Ausführung beliebigen ProgrammcodesCVE-2018-12376
Schwachstellen in Mozilla Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglichen Ausführung beliebigen ProgrammcodesCVE-2018-12377
Schwachstelle in Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-12378
Schwachstelle in Firefox, Firefox ESR, Tor Browser und Thunderbird ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-12379
Schwachstelle in Mozilla Updater ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-12381
Schwachstelle in Mozilla Firefox, Firefox ESR und Tor Browser ermöglicht Darstellung falscher InformationenCVE-2018-12382
Schwachstelle in Mozilla Firefox ermöglicht Darstellung falscher InformationenCVE-2018-12383
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.