2019-0561: Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-03-20 17:13)

Neues Advisory

Version 2 (2019-03-21 11:18)

Red Hat veröffentlicht für die Red Hat Enterprise Linux 7 Produktvarianten Server, for ARM, Workstation und Desktop sowie Server AUS, EUS und TUS 7.6 Sicherheitsupdates für Firefox auf Version 60.6.0 ESR. Korrespondierend stellt Oracle ein Sicherheitsupdate für Oracle Linux 7 (aarch64, x86_64) zur Verfügung.

Version 3 (2019-03-21 11:44)

Oracle stellt jetzt auch für Oracle Linux 6 (x86_64) ein Sicherheitsupdate auf die Firefox ESR Version 60.6 bereit. Red Hat veröffentlicht für die Red Hat Enterprise Linux 6 Produktvarianten Server, for Scientific Computing, Workstation und Desktop ebenfalls Sicherheitsupdates für Firefox ESR.

Version 4 (2019-03-21 12:25)

Für die stabile Distribution Debian Stretch steht ein Sicherheitsupdate für 'firefox-esr' auf die Version 60.6.0esr-1~deb9u1 bereit.

Version 5 (2019-03-21 15:02)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'firefox-esr' auf die Version 60.6.0esr-1~deb8u1 bereit.

Version 6 (2019-03-22 11:30)

Canonical veröffentlicht für die Distributionen Ubuntu 16.04 LTS, Ubuntu 18.04 LTS sowie Ubuntu 18.10 Sicherheitsupdates für den Firefox Browser auf Version 66.

Version 7 (2019-03-25 11:40)

Für Fedora 28 steht das Paket 'firefox-66.0-9.fc28' als Sicherheitsupdate im Status 'testing' bereit, wodurch das vorhergehende Sicherheitsupdate FEDORA-2019-8e7e30b4b8 in den Status 'obsolete' überführt und deshalb hier entfernt wurde.

Version 8 (2019-03-25 17:54)

Canonical veröffentlicht für die Distribution Ubuntu 14.04 LTS das zu USN-3918-1 korrespondierende Sicherheitsupdates für den Firefox Browser auf Version 66.

Version 9 (2019-03-27 16:17)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für Mozilla Firefox auf Version 60.6.1esr bereit, welches auch die schon mit Mozilla Firefox Version 60.6.0esr (MFSA 2019-08) behobenen Schwachstellen adressiert.

Version 10 (2019-03-29 12:28)

Canonical teilt mit, dass mit dem Sicherheitsupdate USN-3918-1 zur Behebung der Schwachstellen in Firefox eine Regression eingeführt wurde. Das Update bewirkte Kompatibilitätsprobleme mit einigen Websites, welche mit dem neuen Update behoben werden.

Version 11 (2019-03-29 15:00)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für Mozilla Firefox auf Version 60.6.1esr bereit, welches auch die schon mit Mozilla Firefox Version 60.6.0esr (MFSA 2019-08) behobenen Schwachstellen adressiert.

Version 12 (2019-04-03 19:07)

Für SUSE Linux Enterprise Software Development Kit 12 SP4, SUSE Linux Enterprise Software Development Kit 12 SP3, SUSE Linux Enterprise Server for SAP 12 SP2, SUSE Linux Enterprise Server for SAP 12 SP1, SUSE Linux Enterprise Server 12 SP4, SUSE Linux Enterprise Server 12 SP3, SUSE Linux Enterprise Server 12 SP2 LTSS, SUSE Linux Enterprise Server 12 SP2 BCL, SUSE Linux Enterprise Server 12 SP1 LTSS, SUSE Linux Enterprise Server 12 LTSS, SUSE Linux Enterprise Desktop 12 SP4, SUSE Linux Enterprise Desktop 12 SP3 und SUSE Enterprise Storage 4 stehen Sicherheitsupdate für Mozilla Firefox auf Version 60.6.1esr bereit, welches auch die schon mit Mozilla Firefox Version 60.6.0esr (MFSA 2019-08) und mit Mozilla Firefox ESR 60.5.1 (MFSA 2019-05) behobenen Schwachstellen adressiert.

Version 13 (2019-04-05 12:48)

Für SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 und SUSE Linux Enterprise Module for Desktop Applications 15 stehen Sicherheitsupdate für Mozilla Firefox auf Version 60.6.1esr bereit, welches auch die schon mit Mozilla Firefox Version 60.6.0esr (MFSA 2019-08) und mit Mozilla Firefox ESR 60.5.1 (MFSA 2019-05) behobenen Schwachstellen adressiert.

Version 14 (2019-04-17 12:25)

Canonical stellt ein weiteres Regressionsupdate für Firefox in Ubuntu 14.04 LTS, 16.04 LTS, 18.04 LTS und 18.10 bereit, durch das Probleme mit dem ursprünglichen Sicherheitsupdate aus USN-3918-1 behoben werden.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen, Privilegien zu eskalieren, falsche Informationen darzustellen, Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, verschiedene Denial-of-Service (DoS)-Angriffe und möglicherweise weitere Angriffe durchzuführen.

Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 66 und Firefox ESR 60.6 als Sicherheitsupdates bereit. Mehrere der genannten Schwachstellen werden vom Hersteller als 'kritisch' eingestuft.

Auf Basis von Firefox ESR 60.6.0 wird zeitgleich der Tor Browser 8.0.7 zur Verfügung gestellt.

Für Fedora 28 und 29 stehen Sicherheitsupdates auf die neue Version von Mozilla Firefox im Status 'pending' bereit.

Schwachstellen:

CVE-2018-18506

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Darstellung falscher Informationen

CVE-2019-9788

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-9789

Schwachstelle in Mozilla Firefox ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-9790

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2019-9791

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2019-9792

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-9793

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Manipulation von Dateien

CVE-2019-9794

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-9795

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2019-9796

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2019-9797

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2019-9798

Schwachstelle in Mozilla Firefox ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-9799

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2019-9801

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Privilegieneskalation

CVE-2019-9802

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2019-9803

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-9804

Schwachstelle in Mozilla Firefox ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-9805

Schwachstelle in Mozilla Firefox ermöglicht nicht spezifizierte Angriffe

CVE-2019-9806

Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff

CVE-2019-9807

Schwachstelle in Mozilla Firefox ermöglicht Darstellen falscher Informationen

CVE-2019-9808

Schwachstelle in Mozilla Firefox ermöglicht Darstellen falscher Informationen

CVE-2019-9809

Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.