2019-0309: Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-02-13 11:17): Neues Advisory
Version 2 (2019-02-15 15:40): Für Debian Stretch (stable) und Jessie (LTS) stehen Sicherheitsupdates bereit, mit denen Firefox ESR auf Version 60.5.1 aktualisiert wird. Damit werden die Schwachstellen CVE-2018-18356 und CVE-2019-5785 adressiert.
Version 3 (2019-02-19 10:38): openSUSE veröffentlicht ein Sicherheitsupdate auf die Firefox Version 60.5.1 für openSUSE Leap 42.3.
Version 4 (2019-02-20 10:26): Für Fedora 29 steht ein Sicherheitsupdate für Firefox auf die Version 65.0.1 im Status 'stable' bereit. Weitere Sicherheitsupdates für Red Hat Enterprise Linux Desktop, Server und Workstation 6, Red Hat Enterprise Linux for Scientific Computing 6 und Oracle Linux 6 aktualisieren Firefox ESR auf Version 60.5.1.
Version 5 (2019-02-20 15:27): Red Hat veröffentlicht jetzt auch für Red Hat Enterprise Linux 7 und damit u. a. für die Produkte Red Hat Enterprise Linux for ARM, Server, Workstation und Desktop 7 sowie Server AUS, EUS und TUS 7.6 Sicherheitsupdates auf die Firefox ESR Version 60.5.1.
Version 6 (2019-02-22 10:32): Für Fedora 28 steht ein Sicherheitsupdate im Status 'testing' bereit, mit dem Firefox auf Version 65.0.1 aktualisiert wird.
Version 7 (2019-02-26 17:18): Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für MozillaFirefox auf Version 60.5.1esr zur Verfügung.
Version 8 (2019-02-27 10:41): Canonical stellt für Ubuntu 18.10, 18.04 LTS, 16.04 LTS und 14.04 LTS Sicherheitsupdates auf Firefox 65.0.1 zur Behebung der Schwachstellen bereit. Die Schwachstelle CVE-2018-18335 wird hier nicht erwähnt.
Version 9 (2019-03-06 18:29): Für Fedora 28 und 29 stehen neue Sicherheitsupdates für Firefox nun auf die Version 65.0.2 im Status 'testing' bzw. 'stable' bereit. Das vorherige Sicherheitsupdate FEDORA-2019-6840b04618 (Fedora 28, firefox-65.0.1-1.fc28) wurde in den Status 'obsolete' versetzt, die Referenz darum hier entfernt, während das Sicherheitsupdate FEDORA-2019-3b8d06c61e (Fedora 29, firefox-65.0.1-1.fc29) den Status 'stable' hat.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen in der Grafikengine Skia ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, einen Denial-of-Service (DoS)-Angriff und möglicherweise auch das Ausspähen von Informationen. Eine weitere Schwachstelle in Firefox 65.0 ermöglicht einem solchen Angreifer das Umgehen von Sicherheitsvorkehrungen und dadurch das Ausspähen von Informationen.

Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 65.0.1 und Firefox ESR 60.5.1 als Sicherheitsupdates bereit. Die Schwachstelle CVE-2018-18335 betrifft hierbei nur Firefox ESR und wird durch Deaktivierung der Canvas 2D-Beschleunigung für Firefox ESR mitigiert.

Auf Basis von Firefox ESR 60.5.1 wird zeitgleich der Tor Browser 8.0.6 zur Verfügung gestellt.

Schwachstellen:

CVE-2018-18335

Schwachstelle in Skia ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-18356

Schwachstelle in Skia ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-18511

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-5785