2019-1382: Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-07-10 18:26)

Neues Advisory

Version 2 (2019-07-12 11:08)

Für Fedora 29 und 30 stehen Sicherheitsupdates für Firefox auf Version 68.0 im Status 'testing' (Fedora 29) und 'stable' (Fedora 30) bereit. Weitere Sicherheitsupdates für Firefox ESR auf Version 60.8.0 stehen für Red Hat Enterprise Linux 6, 7 und 8 sowie für Oracle Linux 6 und 7 bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise Linux (RHEL) Desktop, Server und Workstation 6 und 7, RHEL Server EUS 7.6, AUS 7.6 und TUS 7.6, RHEL for Scientific Computing 6 sowie RHEL for ARM 64 7, RHEL for ARM 64 8 und RHEL for x86_64 8 bereit.

Version 3 (2019-07-12 15:02)

Für die alte stabile Distribution Debian Stretch (oldstable) und die stabile Distribution Debian Buster (stable) stehen Sicherheitsupdates für Firefox ESR auf Version 60.8.0 bereit.

Version 4 (2019-07-15 12:21)

Canonical stellt Sicherheitsupdates für Ubuntu 19.04, 18.10, 18.04 LTS und 16.04 LTS bereit, mit denen Firefox auf Version 68.0 aktualisiert wird.

Version 5 (2019-07-18 11:45)

SUSE stellt für mehrere Produkte Sicherheitsupdates auf die Firefox ESR Version 60.8 zur Behebung der in der ESR Version vorhandenen Schwachstellen zur Verfügung. Für die SUSE Linux Enterprise Produktvarianten Software Development Kit 12 SP5 und SP4, Server for SAP 12 SP3, SP2 und SP1, Server 12 SP5, SP4, SP3 LTSS, SP3 BCL, SP2 LTSS, SP2 BCL, SP1 LTSS und 11 SP4 LTSS, Desktop 12 SP5 und SP4 sowie die SUSE Linux Enterprise Module for Server Applications 15 SP1, Open Buildservice Development Tools 15 und 15 SP1, Desktop Applications 15 und 15 SP1, Basesystem 15 und 15 SP1 sowie SUSE OpenStack Cloud 8 und 7, SUSE Enterprise Storage 5 und 4 und SUSE CaaS Platform 3.0 stehen aktualisierte Pakete bereit. In der Sicherheitsmeldung für das Sicherheitsupdate für SUSE Linux Enterprise Server 11 SP4 LTSS werden zusätzlich zu den hier aufgeführten Schwachstellen auch noch zwei weitere Schwachstellen genannt, die von Mozilla bereits in einer vorherigen Firefox Version behoben wurden.

Version 6 (2019-07-22 14:04)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate bereit, mit dem Firefox ESR auf Version 60.8 aktualisiert wird. Gleichzeitig wird 'mozilla-nss' auf Version 3.44.1 angepasst.

Version 7 (2019-07-26 12:52)

Canonical stellt neue Sicherheitsupdates für Firefox in Ubuntu 19.04, 18.04 LTS und 16.04 LTS bereit, da es durch das vorherige Sicherheitsupdate zu nicht näher spezifizierten Regressionen gekommen ist.

Version 8 (2019-07-29 18:16)

Für SUSE OpenStack Cloud Crowbar 8 und HPE Helion Openstack 8 stehen Sicherheitsupdates bereit, mit dem Firefox ESR auf Version 60.8 aktualisiert wird. Gleichzeitig wird 'mozilla-nss' auf Version 3.44.1 angepasst.

Version 9 (2019-07-29 18:21)

Für openSUSE Leap 15.0 steht ein ebenfalls das Sicherheitsupdate von Firefox ESR auf Version 60.8 und von 'mozilla-nss' auf Version 3.44.1 bereit.

Version 10 (2019-08-02 14:28)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate auf die Firefox ESR Version 60.8.0 zur Verfügung.

Version 11 (2019-08-05 17:52)

Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates auf die Firefox ESR Version 60.8.0 zur Verfügung. Zeitgleich veröffentlichte Oracle auch Sicherheitsupdates auf die Firefox Version 60.7.0 ESR und 60.7.2 ESR in denen ebenfalls mehrere Schwachstellen behoben wurden. Eine Aktualisierung sollte auf die neuste Version durchgeführt werden.

Version 12 (2019-08-19 13:08)

Für SUSE Enterprise Storage 5 steht ein Sicherheitsupdate auf die Firefox ESR Version 60.8.0 zur Verfügung.

Version 13 (2019-08-26 13:02)

Für SUSE Package Hub for SUSE Linux Enterprise 12 steht ein Sicherheitsupdate auf die Firefox ESR Version 60.8.0 zur Verfügung.

Version 14 (2019-08-26 13:53)

Für SUSE Package Hub for SUSE Linux Enterprise 12 steht nicht ein Sicherheitsupdate für Firefox ESR, sondern für Mozilla Thunderbird auf Version 60.8.0 zur Verfügung, weshalb die Referenz hier wieder entfernt wurde.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, verschiedene Denial-of-Service (DoS)-Angriffe, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, das Darstellen falscher Informationen und die Durchführung von Cross-Site-Scripting (XSS)-Angriffen.

Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 68 und Firefox ESR 60.8 als Sicherheitsupdates bereit. Mehrere der genannten Schwachstellen werden vom Hersteller als 'kritisch' eingestuft.

Auf Basis von Firefox ESR 60.8.0 wird zeitgleich der Tor Browser 8.5.4 zur Verfügung gestellt.

Schwachstellen:

CVE-2019-11709

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen Programmcodes

CVE-2019-11710

Schwachstellen in Mozilla Firefox ermöglichen Ausführung beliebigen Programmcodes

CVE-2019-11711

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-11712

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2019-11713

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-11714

Schwachstelle in Mozilla Firefox ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-11715

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-11716

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-11717

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2019-11718

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2019-11719

Schwachstelle in Mozilla Firefox, Firefox ESR, NSS und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2019-11720

Schwachstelle in Mozilla Firefox ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-11721

Schwachstelle in Mozilla Firefox ermöglicht Darstellen falscher Informationen

CVE-2019-11723

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2019-11724

Schwachstelle in Mozilla Firefox ermöglicht Privilegieneskalation

CVE-2019-11725

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-11727

Schwachstelle in Mozilla Firefox und Network Security Services (NSS) ermöglicht Umgehen von Sicherheitsrichtlinien

CVE-2019-11728

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2019-11729

Schwachstelle in Mozilla Firefox, Firefox ESR, NSS und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2019-11730

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2019-9811

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.