2018-1998: Mozilla Firefox, Firefox ESR, Tor Browser: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-10-04 14:32)

Neues Advisory

Version 2 (2018-10-04 18:14)

Für openSUSE Leap 42.3 und 15.0 stehen Sicherheitsupdates für Mozilla Firefox auf Version 60.2.2esr bereit.

Version 3 (2018-10-08 16:32)

Für Red Hat Enterprise Linux 6 stehen Sicherheitsupdates für Mozilla Firefox auf Version 60.2.2 ESR bereit. Die Sicherheitsupdates sind unter anderem für die Produktvarianten Server, Workstation, Desktop und for Scientific Computing verfügbar.

Version 4 (2018-10-09 11:17)

Für die Red Hat Enterprise Linux 7 Produktvarianten Server, Workstation, Desktop und for ARM, für Red Hat Enterprise Linux Server - Extended Update Support 7.5 sowie für Oracle Linux 7 (x86_64, aarch64) stehen Sicherheitsupdates für Firefox auf Version 60.2.2 ESR bereit. Sowohl Red Hat als auch Oracle klassifizieren die Sicherheitsupdates als 'critical'.

Version 5 (2018-10-26 13:14)

Für SUSE Linux Enterprise Module for Desktop Applications 15 steht ein Sicherheitsupdate für 'MozillaFirefox' auf Version 60.2.2ESR bereit, welches zusätzlich zu den aufgeführten Schwachstellen die bereits mit Firefox ESR 60.2.1 behobenen Schwachstellen CVE-2018-12383 und CVE-2018-12385 adressiert, welche dem Angreifer ebenfalls die Ausführung beliebigen Programmcodes (Exploitable Crash) ermöglichen und einem lokalen, nicht authentisierten Angreifer unter Umständen das Ausspähen von Passwörtern.

Version 6 (2018-11-01 12:50)

SUSE stellt für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop in der Version 12 SP3, Server for SAP 12 SP1 und SP2, Server 12 SP2 LTSS, 12 SP1 LTSS und 12 LTSS sowie SUSE OpenStack Cloud 7, Enterprise Storage 4, Container as a Service Platform ALL und 3.0 Sicherheitsupdates auf die Mozilla Firefox ESR Version 60.2.2 zur Verfügung. In der Sicherheitsmeldungen werden ebenfalls die in den ESR Versionen 60.2 und 60.2.1 behobenen Schwachstellen referenziert. Insgesamt stehen die Pakete 'MozillaFirefox', 'MozillaFirefox-branding-SLE', 'llvm4', 'mozilla-nspr', 'mozilla-nss' und 'apache2-mod_nss' zur Verfügung.

Version 7 (2018-12-06 14:08)

Für die SUSE Linux Enterprise 12 SP4 Produkte Software Development Kit, Server und Desktop stehen Sicherheitsupdates auf die Mozilla Firefox ESR Version 60.2.2 zur Verfügung. Mit diesen Sicherheitsupdates werden auch die Schwachstellen in den vorherigen, auf der ESR Version 60 aufsetzenden Releases adressiert. Zusätzlich zu den Firefox Sicherheitsupdates steht aktualisierte Pakete für 'mozilla-nspr' auf Version 4.19 und 'mozilla-nss' auf Version 3.36.4 bereit. Insgesamt werden die folgenden Pakete veröffentlicht: 'MozillaFirefox', 'MozillaFirefox-branding-SLE', 'llvm4', 'mozilla-nspr', 'mozilla-nss' und 'apache2-mod_nss'.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle

Beschreibung:

Die Schwachstelle CVE-2018-12386 ermöglicht einem vermutlich entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes im Browserkontext (Sandbox). Die Schwachstelle CVE-2018-12387 eignet sich als Teil eines Exploits zur Ausführung beliebigen Programmcodes im Browserkontext.

Die Mozilla Foundation stellt Mozilla Firefox 62.0.3 sowie Firefox ESR 60.2.2 zur Behebung der Schwachstellen bereit.

Zeitgleich wird der Tor Browser 8.0.2 zur Verfügung gestellt, welcher weiterhin auf der Firefox ESR 60.2.1 Version basiert, aber die Patches zur Behebung der Schwachstellen inkludiert.

Für Debian 9.5 Stretch (stable) steht ein Sicherheitsupdate für das Paket 'firefox-esr' in der Version '60.2.2esr-1~deb9u1' bereit.

Für Fedora 27 und 28 stehen Sicherheitsupdates für Mozilla Firefox auf die Version 62.0.3 in Form der Pakete 'firefox-62.0.3-1.fc27' und 'firefox-62.0.3-1.fc28' bereit, die sich derzeit noch im Status 'pending' befinden.

Canonical stellt für Ubuntu 18.04 LTS, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates für das Paket 'firefox' auf Version 62.0.3 bereit, welche zusätzlich die Schwachstelle CVE-2018-12385 adressieren. Diese Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes (Exploitable Crash) und wurde bereits mit dem offiziellen Firefox Release 62.0.2 bzw. Firefox ESR 60.2.1 behoben.

Schwachstellen:

CVE-2018-12386

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-12387

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht nicht spezifizierte Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.