2020-0021: Mozilla Firefox, Firefox ESR: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-01-07 18:50)

Neues Advisory

Version 2 (2020-01-09 10:21)

Für Fedora 31 steht ein Sicherheitsupdate auf Firefox 72 im Status 'stable' bereit. Fedora hat für Fedora 30 mittlerweile bereits ein Update auf die neue Version 72.0.1 veröffentlicht, das sich ebenfalls im Status 'stable' befindet. Details folgen in einem gesonderten Sicherheitshinweis.

Version 3 (2020-01-09 12:26)

Die Mozilla Foundation informiert über eine weitere Schwachstelle (CVE-2019-17026) und stellt Firefox 72.0.1 und Firefox ESR 68.4.1 als Sicherheitsupdates für die erst gestern veröffentlichten Versionen Firefox 72.0 und Firefox ESR 68.4 bereit. Die neue Schwachstelle wird laut Hersteller bereits aktiv ausgenutzt. Fedora stellt für Fedora 30 und 31 Sicherheitsupdates auf diese Version im Status 'pending' bzw. 'stable' bereit. Für Fedora 31 steht die aktuelle Version über 'firefox-master' auch als Flatpak im Status 'testing' zur Verfügung. Das Tor Projekt stellt mit dem Tor Browser 9.0.3 auf Basis von Firefox ESR 68.4.0 eine vorläufig aktualisierte Version zur Behebung der betreffenden Schwachstellen bereit und kündigt gleichzeitig Tor Browser 9.0.4 auf Basis von Firefox ESR 68.4.1 an.

Version 4 (2020-01-09 13:42)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für Firefox ESR auf Basis von Version 68.4.0 bereit, mit dem auch die neue Schwachstelle CVE-2019-17026 adressiert wird.

Version 5 (2020-01-09 16:47)

Debian stellt für die stabile Distribution Buster (10.2) die Version 68.4.1esr-1~deb10u1.8 und für die alte stabile Distribution Jessie (9.11) die Version 68.4.1esr-1~deb9u1 für Firefox ESR als Sicherheitsupdate bereit.

Version 6 (2020-01-10 10:55)

Canonical stellt für Ubuntu 19.10, Ubuntu 19.04, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates bereit, mit denen Firefox auf Version 72.0.1 aktualisiert wird. Darüber hinaus steht jetzt auch die angekündigte Version 9.0.4 des Tor Browsers auf Basis von Firefox ESR 68.4.1 bereit, die die Schwachstelle CVE-2019-17026 adressiert.

Version 7 (2020-01-10 17:17)

Für SUSE OpenStack Cloud Crowbar 8, SUSE OpenStack Cloud 7 und 8 sowie die SUSE Linux Enterprise Produkte Software Development Kit 12 SP4 und 12 SP5, Server for SAP 12 SP1, 12 SP2 und 12 SP3, Server 12 SP1 LTSS, 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4, 12 SP5 und Storage 5 stehen Sicherheitsupdates für MozillaFirefox auf Firefox Extended Support Release 68.4.1 ESR bereit, welche auch die mit Firefox Extended Support Release 68.4.0 ESR behobenen Schwachstellen adressieren.

Version 8 (2020-01-13 10:18)

Für SUSE Linux Enterprise Server 11 SP4 LTSS steht ein Sicherheitsupdate bereit, mit dem Firefox ESR auf Version 68.4.1 aktualisiert wird.

Version 9 (2020-01-13 17:19)

Für die SUSE Linux Enterprise Produkte Module for Open Buildservice Development Tools und Module for Desktop Applications jeweils in Version 15 und 15 SP1 stehen Sicherheitsupdates bereit, mit denen Firefox ESR auf Version 68.4.1 aktualisiert wird.

Version 10 (2020-01-13 18:29)

Für Red Hat Enterprise Linux 6 in den Produktvarianten Server, Workstation, Desktop und for Scientific Computing stehen Sicherheitsupdates bereit, mit denen Firefox auf Version 68.4.1 ESR aktualisiert wird.

Version 11 (2020-01-14 11:34)

Für Red Hat Enterprise Linux 7 und Oracle Linux 7 stehen Sicherheitsupdates bereit, mit denen Firefox ESR auf Version 68.4.1 aktualisiert wird.

Version 12 (2020-01-15 11:24)

Für Red Hat Enterprise Linux 8 steht ein Sicherheitsupdate bereit, mit dem Firefox auf Version 68.4.1 ESR aktualisiert wird.

Version 13 (2020-01-15 17:19)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate bereit, mit dem Firefox auf Version 68.4.1 ESR aktualisiert wird.

Version 14 (2020-01-15 17:59)

Für Oracle Linux 8 stehen Sicherheitsupdates bereit, mit denen Firefox ESR auf Version 68.4.1 aktualisiert wird.

Version 15 (2020-01-17 12:49)

Die Referenzen für Red Hat Enterprise Linux Sicherheitsupdates für Thunderbird wurden hier entfernt.

Version 16 (2020-02-03 10:07)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate bereit, mit dem Firefox ESR auf Version 68.4.1 aktualisiert wird.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen ermöglichen einem in der Regel entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, die Durchführung von Denial-of-Service (DoS)-Angriffen und eines Cross-Site-Scripting (XSS)-Angriffs, das Umgehen von Sicherheitsvorkehrungen sowie das Ausspähen von Informationen.

Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 72 und Firefox ESR 68.4 als Sicherheitsupdates bereit. Mehrere der genannten Schwachstellen sind nur für Windows-Systeme relevant (CVE-2019-17015, CVE-2019-17018, CVE-2019-17019 und CVE-2019-17021).

Schwachstellen:

CVE-2019-17015

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-17016

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2019-17017

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-17018

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2019-17019

Schwachstelle in Mozilla Firefox ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-17020

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-17021

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2019-17022

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-17023

Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff

CVE-2019-17024

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen Programmcodes

CVE-2019-17025

Schwachstellen in Mozilla Firefox ermöglichen Ausführung beliebigen Programmcodes

CVE-2019-17026

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.