2019-2557: Mozilla Firefox, Firefox ESR: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-12-03 19:16): Neues Advisory
Version 2 (2019-12-04 10:19): Das Tor Projekt stellt mit dem Tor Browser 9.0.2 auf Basis von Firefox ESR 68.3.0 eine aktualisierte Version zur Behebung der Schwachstellen bereit.
Version 3 (2019-12-06 11:18): Für Red Hat Enterprise Linux 6, 7 und 8 sowie für Oracle Linux 7 und 8 stehen Sicherheitsupdates bereit, mit denen Firefox ESR auf Version 68.3.0 aktualisiert wird.
Version 4 (2019-12-10 10:13): Canonical stellt für Ubuntu 19.10, Ubuntu 19.04 und Ubuntu 18.04 LTS Sicherheitsupdates bereit, mit denen 'firefox' auf Version 71.0 aktualisiert wird.
Version 5 (2019-12-10 12:18): Debian stellt für die stabile Distribution Buster (10.2) die Version 68.3.0esr-1~deb10u1 und für die alte stabile Distribution Stretch (9.11) die Version 68.3.0esr-1~deb9u1 von 'firefox-esr' als Sicherheitsupdates bereit, um die betreffenden Schwachstellen zu beheben.
Version 6 (2019-12-10 15:47): Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'firefox-esr' auf Version 68.3.0esr-1~deb8u1 bereit, um die betreffenden Schwachstellen zu beheben.
Version 7 (2019-12-13 16:51): Canonical stellt für Ubuntu 16.04 LTS das zu USN-4216-1 korrespondierende Sicherheitsupdate bereit, mit dem 'firefox' auf Version 71.0 aktualisiert wird.
Version 8 (2019-12-19 11:39): Für SUSE Linux Enterprise Module for Open Buildservice Development Tools und SUSE Linux Enterprise Module for Desktop Applications jeweils in den Versionen 15 und 15 SP1 stehen Sicherheitsupdates bereit, mit denen MozillaFirefox auf Version 68.3.0 ESR aktualisiert wird.
Version 9 (2019-12-20 12:08): Für SUSE OpenStack Cloud Crowbar 8, SUSE OpenStack Cloud 7 und 8, die SUSE Linux Enterprise Produkte Software Development Kit 12 SP4 und 12 SP5, Server for SAP in den Versionen 12 SP1, 12 SP2 und 12 SP3, Server in den Versionen 12 SP1 LTSS, 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 und 12 SP5 und Desktop 12 SP4 sowie SUSE Enterprise Storage 5 stehen Sicherheitsupdates bereit, mit denen MozillaFirefox auf Version 68.3.0 ESR aktualisiert wird.
Version 10 (2019-12-23 10:58): Für SUSE Linux Enterprise Server 11 SP4 LTSS steht ein Sicherheitsupdate auf die Firefox ESR Version 68.3.0 bereit. Weiterhin werden die Bug-fix-Updates 'mozilla-nss' auf Version 3.47.1 und 'mozilla-nspr' auf Version 4.23 zur Verfügung gestellt.
Version 11 (2020-01-10 10:49): Für openSUSE Leap 15.1 steht ein Sicherheitsupdate bereit, mit dem Firefox ESR auf Version 68.3.0 aktualisiert wird.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen ermöglichen einem in der Regel entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, die Durchführung von Denial-of-Service (DoS)-Angriffen und das Ausspähen von Informationen.

Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 71 und Firefox ESR 68.3 als Sicherheitsupdates bereit. Eine der genannten Schwachstellen ist nur für Windows-Systeme relevant, wenn WebRTC eingesetzt wird (CVE-2019-13722).

Für Fedora 30 und 31 stehen Sicherheitsupdates auf Version 71.0 im Status 'pending' bereit.

Schwachstellen:

CVE-2019-11745

Schwachstelle in Network Security Services (NSS) ermöglicht Ausführung beliebigen Programmcodes mit Benutzerrechten