2020-0702: Mozilla Firefox, Firefox ESR: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-04-06 10:51): Neues Advisory
Version 2 (2020-04-06 14:39): Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für Mozilla Firefox auf Version 68.6.1 ESR bereit.
Version 3 (2020-04-07 11:20): SUSE veröffentlicht für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP4 und SP5, Server for SAP 12 SP1, SP2 und SP3, Server 12 SP1 LTSS, SP2 BCL, SP2 LTSS, SP3 BCL, SP3 LTSS, SP4 und SP5, die SUSE Linux Enterprise Module for Open Buildservice Development Tools und for Desktop Applications jeweils in den Versionen 15 SP1 und SP2, SUSE OpenStack Cloud 7, 8 und Crowbar 8 sowie SUSE Enterprise Storage 5 Sicherheitsupdates auf die Firefox ESR Version 68.6.1.
Version 4 (2020-04-07 16:17): Für Red Hat Enterprise Linux 6, 7 und 8 stehen Sicherheitsupdates auf die Firefox ESR Version 68.6.1 zur Behebung der Schwachstellen bereit. Die Updates stehen unter anderem für die Red Hat Enterprise Linux Produkte Server, Workstation und Desktop 6 und 7 sowie für Red Hat Enterprise Linux 8 und Red Hat Enterprise Linux - Extended Update Support 8.1 jeweils für x86_64- und ARM 64-Architekturen zur Verfügung.
Version 5 (2020-04-08 11:12): SUSE veröffentlicht für SUSE Linux Enterprise Server 11 SP4 LTSS ein Sicherheitsupdate auf die Firefox ESR Version 68.6.1 zur Behebung der beiden Schwachstellen.
Version 6 (2020-04-09 12:06): Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'firefox' auf Version 68.6.1 ESR bereit.
Version 7 (2020-04-09 12:09): Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'firefox' auf Version 68.6.1 ESR bereit.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein entfernter Angreifer kann zwei Schwachstellen in Mozilla Firefox und Firefox ESR ausnutzen, um beliebigen Programmcode auszuführen. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers.

Mozilla veröffentlicht Firefox 74.0.1 und Firefox ESR 68.6.1 als Sicherheitsupdates zur Behebung der Schwachstellen. Der Hersteller gibt an, dass die beiden kritischen Schwachstellen bereits aktiv ausgenutzt werden.

Canonical stellt für Ubuntu 19.10, 18.04 LTS und 16.04 LTS Sicherheitsupdates bereit, mit denen die Firefox auf Version 74.0.1 aktualisiert wird. Für Fedora 31 steht ebenfalls ein Update auf diese Version im Status 'stable' bereit. Für Debian 9 Stretch (oldstable) und Debian 10 Buster (stable) stehen Sicherheitsupdates für Firefox ESR auf Basis der aktuellen Version 68.6.1 zur Verfügung. Das Tor Projekt stellt den Tor Browser 9.0.8 bereit, mit dem die Schwachstellen adressiert werden.

Schwachstellen:

CVE-2020-6819

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-6820