2019-0587: Mozilla Firefox, Firefox ESR, Tor Browser: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-03-25 14:12): Neues Advisory
Version 2 (2019-03-25 16:12): Für Debian Jessie (LTS) steht ein Sicherheitsupdate auf die Firefox ESR Version 60.6.1 zur Verfügung.
Version 3 (2019-03-25 17:57): Canonical veröffentlicht für die Distributionen Ubuntu 14.04 LTS, Ubuntu 16.04 LTS, Ubuntu 18.04 LTS sowie Ubuntu 18.10 Sicherheitsupdates für den Firefox Browser auf Version 66.0.1.
Version 4 (2019-03-26 10:36): Debian veröffentlicht für die stabile Distribution Stretch ein Sicherheitsupdate auf die Firefox ESR Version 60.6.1.
Version 5 (2019-03-27 16:07): Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für Mozilla Firefox auf Version 60.6.1esr bereit. Red Hat veröffentlicht für die Red Hat Enterprise Linux 6 Produktvarianten Server, for Scientific Computing, Workstation und Desktop sowie für die Red Hat Enterprise Linux 7 Produktvarianten Server, for ARM, Workstation und Desktop sowie Server AUS, EUS und TUS 7.6 ebenfalls Sicherheitsupdates auf die Firefox Version 60.6.1 ESR.
Version 6 (2019-03-27 18:30): Für Oracle Linux 7 (x86_64) steht das korrespondierende Sicherheitsupdate für 'firefox' auf Version 60.6.1 ESR bereit.
Version 7 (2019-03-28 10:40): Für Oracle Linux 6 (x86_64) steht das korrespondierende Sicherheitsupdate für 'firefox' auf Version 60.6.1 ESR bereit.
Version 8 (2019-03-29 14:59): Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für Mozilla Firefox auf Version 60.6.1esr bereit.
Version 9 (2019-04-01 12:48): Für Fedora 28 steht ein neues Sicherheitsupdate in Form des Paketes 'firefox-66.0.1-4.fc28' im Status 'testing' bereit, welches das frühere Update FEDORA-2019-fb889c3af4 (Fedora 28, firefox-66.0.1-1.fc28) ersetzt, das in den Status 'obsolete' versetzt wurde. Die Referenz wurde entsprechend hier entfernt.
Version 10 (2019-04-02 12:57): Für Fedora 28 steht ein neues Sicherheitsupdate auf die letzte Firefox Version 66.0.2 bereit, welches Fehler in 'BlueJeans Playback (Bug 1691831) behebt. Das vorherige Update FEDORA-2019-97aa86c2ba (Fedora 28, firefox-66.0.1-4.fc28) wurde in den Status 'obsolete' versetzt, die Referenz deshalb hier entfernt, während sich das Update FEDORA-2019-0767b70f4a (Fedora 29, firefox-66.0.1-1.fc29) weiterhin im Status 'stable' befindet.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Zwei Schwachstellen im JavaScript JIT Compiler IonMonkey, der von Mozilla Firefox verwendet wird, ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes.

Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 66.0.1 und Firefox ESR 60.6.1 als Sicherheitsupdates bereit. Die Schwachstellen werden vom Hersteller als 'kritisch' eingestuft.

Auf Basis von Firefox ESR 60.6.1 wird zeitgleich der Tor Browser 8.0.8 zur Verfügung gestellt.

Für Fedora 28 und 29 stehen Sicherheitsupdates auf die neue Version von Mozilla Firefox im Status 'pending' bereit.

Schwachstellen:

CVE-2019-9810

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-9813