2018-2516: Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-12-12 12:54)
- Neues Advisory
- Version 2 (2018-12-13 10:27)
- Für Fedora 28 und 29 stehen Sicherheitsupdates auf die Firefox Version 64 in Form von 'firefox-64.0-4'-Paketen im Status 'testing' zur Behebung der Schwachstellen bereit. Debian veröffentlicht für die stabile Distribution Stretch (9.6) ein Sicherheitsupdate für Firefox ESR auf die Version 60.4.
- Version 3 (2018-12-13 11:52)
- Debian veröffentlicht für Debian 8 "Jessie" (LTS) ein Sicherheitsupdate für Firefox ESR auf die Version 60.4.
- Version 4 (2018-12-13 14:28)
- Für die Distributionen openSUSE Leap 42.3 und 15.0 stehen Sicherheitsupdates für Firefox ESR auf Version 60.4.0 bereit, um entsprechenden Schwachstellen zu beheben.
- Version 5 (2018-12-18 10:14)
- Red Hat veröffentlicht für die Red Hat Enterprise Linux 6 und 7 Produkte Server, Workstation und Desktop, sowie für RHEL for Scientific Computing 6, for ARM 7 und Server AUS, EUS und TUS 7.6 Sicherheitsupdates auf die Firefox ESR Version 60.4.
- Version 6 (2018-12-18 11:46)
- Oracle stellt für Oracle Linux 7 (x86_64) auf die Version 60.4 aktualisierte Firefox ESR Pakete zur Behebung der Schwachstellen bereit.
- Version 7 (2018-12-19 11:29)
- Oracle stellt für Oracle Linux 6 (x86_64) ein Sicherheitsupdate für Firefox ESR auf Version 60.4.0 bereit.
- Version 8 (2018-12-27 12:16)
- Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop in den Versionen 12 SP3 und 12 SP4, Server for SAP 12 SP2, Server 12 SP2 LTSS, 12 SP2 BCL, 12 SP1 LTSS und 12 LTSS sowie die SUSE Linux Enterprise Module for Open Buildservice Development Tools, for Desktop Applications und for Basesystem in Version 15, SUSE OpenStack Cloud 7, SUSE Enterprise Storage 4, SUSE CaaS Platform ALL und 3.0 stehen Sicherheitsupdates auf die Firefox ESR Version 60.4 zur Verfügung. Mit den gleichen Meldungen informiert SUSE auch über die Verfügbarkeit von Sicherheitsupdates für NSS (siehe extra Schwachstellenmeldung) und Netscape Portable Runtime Library (NSPR). Mittels des Updates auf die NSPR Version 4.20 werden allerdings keine Schwachstellen behoben.
- Version 9 (2019-04-16 11:39)
- Für SUSE Linux Enterprise Server for SAP 12 SP1 steht ein Sicherheitsupdate bereit, mit dem Firefox ESR auf Version 60.4 aktualisiert wird. In derselben Meldung informiert SUSE auch über die Verfügbarkeit von Sicherheitsupdates für NSS (mozilla-nss) auf Version 3.40.1 zur Behebung von CVE-2018-12404, CVE-2018-12384 und CVE-2018-0495 sowie zusätzlichen Schwachstellen im ASN.1-Programmcode.
Betroffene Software
Office
Sicherheit
Betroffene Plattformen
Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle
Beschreibung:
Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR können von einem entfernten, nicht authentisierten Angreifer für das Ausführen beliebigen Programmcodes, Eskalieren von Privilegien, Umgehen von Sicherheitsvorkehrungen und die Durchführung von Denial-of-Service (DoS)-Angriffen ausgenutzt werden.
Mozilla behebt die Schwachstellen, von denen mehrere vom Hersteller als kritisch bewertet werden, und stellt die Firefox Version 64 und Firefox ESR Version 60.4 als Sicherheitsupdates zur Verfügung. Zeitgleich wird die Tor Browser Version 8.0.4 bereitgestellt, die auf Firefox ESR aufsetzt und die entsprechenden Schwachstellenbehebungen inkludiert. Zusätzlich werden mit dem neuen Tor Release OpenSSL auf Version 1.0.2q aktualisiert und mehrere weitere Korrekturen umgesetzt.
Canonical veröffentlicht für Ubuntu 14.04 LTS, Ubuntu 16.04 LTS, Ubuntu 18.04 LTS und Ubuntu 18.10 Sicherheitsupdates auf die Firefox Version 64.
Schwachstellen:
CVE-2018-12405
Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen Ausführung beliebigen ProgrammcodesCVE-2018-12406
Schwachstellen in Mozilla Firefox ermöglichen Ausführung beliebigen ProgrammcodesCVE-2018-12407
Schwachstelle in ANGLE ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-17466
Schwachstelle in ANGLE ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-18492
Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-18493
Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-18494
Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-18495
Schwachstelle in Mozilla Firefox ermöglicht PrivilegieneskalationCVE-2018-18496
Schwachstelle in Mozilla Firefox ermöglicht Clickjacking-AngriffCVE-2018-18497
Schwachstelle in Mozilla Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-18498
Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Denial-of-Service-AngriffCVE-2018-18510
Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.