2020-0944: Mozilla Firefox, Firefox ESR: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-05-06 13:32)

Neues Advisory

Version 2 (2020-05-06 17:04)

Für verschiedene Produktvarianten von Red Hat Enterprise Linux 8, 8.1 EUS und 8.2 stehen Sicherheitsupdates zur Behebung der Schwachstellen in Firefox ESR bereit. Die betroffene Software wird damit auf Version 68.8 aktualisiert.

Version 3 (2020-05-07 10:16)

Für Fedora 32 Flatpaks steht ein Sicherheitsupdate in Form des Pakets 'firefox-master-3220200506083710.1' im Status 'testing' bereit, womit Firefox auf das Upstream Release 76.0 aktualisiert wird. Für Red Hat Enterprise Linux 6 in den Ausprägungen Server, Workstation, Desktop und for Scientific Computing sowie Red Hat Enterprise Linux 7 in den Produktvarianten Server, Workstation und Desktop stehen Sicherheitsupdates zur Behebung der Schwachstellen in Firefox ESR bereit. Die betroffene Software wird damit auf Version 68.8 aktualisiert.

Version 4 (2020-05-07 12:42)

Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für Firefox ESR auf Version 68.8 bereit.

Version 5 (2020-05-07 14:16)

Für Debian 9 Stretch (oldstable) und Debian 10 Buster (stable) stehen Sicherheitsupdates für 'firefox-esr' auf Version 68.8.0esr-1~deb9u1 bzw. Version 68.8.0esr-1~deb10u1 bereit.

Version 6 (2020-05-07 18:29)

Für SUSE Linux Enterprise Module for Development Tools 15 SP1 (Open Buildservice) und SUSE Linux Enterprise Module for Desktop Applications 15 SP1 stehen Sicherheitsupdates für MozillaFirefox auf Version 68.8.0 ESR bereit. Canonical stellt für Ubuntu 20.04 LTS, Ubuntu 19.10, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für Firefox auf Version 76.0 zur Verfügung.

Version 7 (2020-05-08 10:02)

Für SUSE OpenStack Cloud 7 und 8, Cloud Crowbar 8 sowie die SUSE Linux Enterprise Produkte Software Development Kit 12 SP4 und 12 SP5, Server for SAP 12 SP1, 12 SP2 und 12 SP3, Server 12 SP1 LTSS, 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 und 12 SP5 sowie Storage 5 stehen Sicherheitsupdates für MozillaFirefox auf Version 68.8.0. ESR bereit.

Version 8 (2020-05-08 18:35)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'firefox-esr' auf Version 68.8.0esr-1~deb8u1 bereit.

Version 9 (2020-05-11 10:15)

Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für Firefox ESR auf Version 68.8 bereit.

Version 10 (2020-05-11 15:13)

Für openSUSE Leap 15.1 und SUSE Linux Enterprise Server 11 SP4 LTSS stehen Sicherheitsupdates bereit, mit denen 'MozillaFirefox' auf Version 68.8.0 ESR aktualisiert wird.

Version 11 (2020-05-13 09:40)

Mit USN-4353-1 zur Behebung der Schwachstellen in Firefox wurde eine Regression eingeführt, durch welche die Funktionalität einiger Addons beeinträchtigt wurde. Dieses Problem wird nun behoben.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen ermöglichen einem in der Regel entfernten Angreifer das Umgehen von Sicherheitsvorkehrungen, das Ausführen beliebigen Programmcodes, das Durchführen von Denial-of-Service (DoS)-Angriffen, das Darstellen falscher Informationen und das Ausspähen von Informationen. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers, um erfolgreich zu sein, und die Ausnutzung einiger der Schwachstellen kann Einfluss auf andere Komponenten des Systems haben. Drei Schwachstellen betreffen nur Microsoft Windows-Systeme.

Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 76 und Firefox ESR 68.8 als Sicherheitsupdates bereit.

Das Tor Projekt veröffentlicht die Tor Browser Version 9.0.10, welche Aktualisierungen auf die Firefox ESR Version 68.8 sowie NoScript 11.0.25 und OpenSSL 1.1.1g umfasst, um die für den ESR-Zweig relevanten Schwachstellen für den Tor Browser zu beheben.

Für Fedora 30, 31 und 32 stehen Sicherheitsupdates in Form der Pakete 'firefox-76.0-2.fc30', 'nss-3.51.1-1.fc30', 'firefox-76.0-2.fc31', 'nss-3.51.1-1.fc31', 'firefox-76.0-2.fc32' und 'nss-3.51.1-1.fc32' im Status 'pending' bereit, um die betreffenden Schwachstellen zu beheben.

Schwachstellen:

CVE-2020-12387

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-12388

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-12389

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-12390

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-12391

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-12392

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2020-12393

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-12394

Schwachstelle in Mozilla Firefox ermöglicht Darstellen falscher Informationen

CVE-2020-12395

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-12396

Schwachstellen in Mozilla Firefox ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-6831

Schwachstelle in WebRTC ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.