DFN-CERT

Advisory-Archiv

2019-1258: Mozilla Firefox, Firefox ESR: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2019-06-21 11:48)
Neues Advisory
Version 2 (2019-06-21 19:57)
Der Tor Browser ist ebenfalls von der Schwachstelle betroffen, hier wird Version 8.5.3 als Sicherheitsupdate veröffentlicht.
Version 3 (2019-06-24 11:59)
SUSE stellt für SUSE Enterprise Storage 4 und 5, SUSE OpenStack Cloud 7 und 8, die SUSE Linux Enterprise Module für Open Buildservice Development Tools und Desktop Applications 15 und 15 SP1, SUSE Linux Enterprise Desktop und Software Development Kit 12 SP3, 12 SP4 und 12 SP5 sowie für SUSE Linux Enterprise Server 12 SP5, 12 SP4, 12 SP3 LTSS, 12 SP3, 12 SP2 LTSS, 12 SP2 BCL, 12 SP1 LTSS, 12 LTSS und SUSE Linux Enterprise Server for SAP 12 SP3, 12 SP2 und 12 SP1 Sicherheitsupdates bereit, mit denen 'MozillaFirefox' auf Version 60.7.2 (ESR) aktualisiert wird. Für Fedora 29 und 30 stehen Sicherheitsupdates auf Version 67.0.4 im Status 'stable' bereit.
Version 4 (2019-06-24 13:14)
Für Fedora 30 steht ein Sicherheitsupdate in Form der Pakete 'gjs-1.56.2-4.fc30' und 'mozjs60-60.7.2-1.fc30' im Status 'stable' bereit, welches neben der Schwachstelle CVE-2019-11707, die bereits mit den vorherigen Paketversionen 'gjs-1.56.2-3.fc30' und 'mozjs60-60.7.1-1.fc30' unter demselben Fedora Security Update (FEDORA-2019-c2ff49ef73) adressiert worden war, nun auch die Schwachstelle CVE-2019-11708 behebt.
Version 5 (2019-06-24 15:12)
Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für Mozilla Firefox auf die Firefox ESR Version 60.7.2 bereit, um die Schwachstelle zu schließen.
Version 6 (2019-06-25 11:53)
Canonical aktualisiert für die Distributionen Ubuntu 16.04 LTS, Ubuntu 18.04 LTS, Ubuntu 18.10 und Ubuntu 19.04 den Firefox Browser auf die Version 67.0.4, um die aufgeführte Schwachstelle zu beheben.
Version 7 (2019-07-02 14:28)
Für Debian Stretch (stable) steht ein Sicherheitsupdate zur Behebung der Schwachstelle bereit. Mit dem Update wird Firefox ESR auf Version 60.7.2 aktualisiert.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Mozilla Firefox und Firefox ESR ausnutzen, um aus der Sandbox auszubrechen, wenn er einen Kindprozess der Software kompromittieren kann. Kindprozesse werden in Mozilla Firefox beispielsweise zur Wiedergabe von Mediendateien oder zur Darstellung von Webinhalten gestartet.

Mozilla informiert über die Schwachstelle und stellt Firefox 67.0.4 und Firefox ESR 60.7.2 als Sicherheitsupdates bereit. Mozilla bewertet die Kritikalität der Schwachstelle mit 'high'.

Schwachstellen:

CVE-2019-11708

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.