2019-0897: Mozilla Firefox, Firefox ESR, Tor Browser: Eine Schwachstelle ermöglicht u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2019-05-06 12:36)

Neues Advisory

Version 2 (2019-05-07 15:31)

Debian stellt für Debian 8 Jessie (LTS) ein Sicherheitsupdate auf die Firefox Version ESR 60.6.2 bereit. Das Tor Projekt veröffentlicht den Tor Browser in der Version 8.0.9 als Sicherheitsupdate, um das Problem zu beheben, informiert darüber, dass als Basissoftwareversion weiterhin Firefox ESR 60.6.1 angezeigt wird und weist darauf hin, dass Benutzer, die den Workaround genutzt hatten, deshalb gemachte Einstellungen im Zuge der Installation des Sicherheitsupdates zurücksetzen sollten. openSUSE empfiehlt für openSUSE Leap 15.0 und 42.3 ebenfalls ein Update auf die Firefox ESR 60.6.2 Version.

Version 3 (2019-05-08 12:09)

Mozilla veröffentlicht Firefox 66.0.5 als neues Sicherheitsupdate, um weitere Probleme im Kontext der kürzlich automatisch deaktivierten Browsererweiterungen zu beheben. Insbesondere wird hier ein Problem für Benutzer adressiert, die Firefox mit Master-Passwort verwenden. Diese Benutzer müssen ihr Passwort möglicherweise neu eingeben oder zurücksetzen. Mozilla stellt ein Dokument bereit, über das diese und weitere Hinweise zum Problem veröffentlicht werden (Referenz anbei).

Version 4 (2019-05-21 14:20)

openSUSE empfiehlt für openSUSE Leap 15.0 und 42.3 ein Update auf die Firefox ESR 60.6.3 Version, die weitere Verbesserungen zur Wiederherstellung der Verwendbarkeit von Web Extensions mit sich bringt, welche für Benutzer deaktiviert wurden, die ein Master-Passwort gesetzt hatten.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Apple
Google
Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle durch die automatische Deaktivierung von Erweiterungen für verschiedene Browser (Denial-of-Service, DoS) beispielsweise ausnutzen, um durch diese Erweiterungen bereitgestellte Sicherheitsvorkehrungen zu umgehen und dadurch sensitive Informationen auszuspähen.

Mozilla informiert über die Schwachstelle in einem Blogbeitrag und gibt Hinweise zum Problem und dessen Behebung. Als erste Sicherheitsupdates werden Firefox 66.0.4 und Firefox ESR 60.6.2 bereitgestellt. Es ist aber davon auszugehen, dass das Problem hier noch nicht abschließend behoben ist.

Schwachstellen:

MOZILLA-BUG-ID-1548973

Schwachstelle in Mozilla Firefox, Firefox ESR und Tor Browser ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.