2020-1647: Mozilla Firefox, Firefox ESR: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-07-28 19:54)

Neues Advisory

Version 2 (2020-07-29 11:17)

Das Tor-Projekt veröffentlicht den Tor Browser 9.5.3 basierend auf Firefox ESR 68.11, um die Schwachstellen zu schließen.

Version 3 (2020-07-30 11:28)

Der Hersteller informiert in einer Aktualisierung des Sicherheitshinweises für Firefox ESR 68.11 über zwei weitere Schwachstellen, die nur Firefox für Android betreffen. Die Schwachstellen ermöglichen einem entfernten Angreifer die Manipulation lokaler Dateien und das Ausspähen von Informationen, wenn ein Benutzer zur Installation einer speziell präparierten Anwendung verleitet werden kann. Erfolgreiche Angriffe haben dann Einfluss auf andere Komponenten betroffener Systeme. Darüber hinaus steht für Debian 9 Stretch (LTS) ein Sicherheitsupdate auf Basis von Firefox ESR 68.11 bereit. Red Hat veröffentlicht für Red Hat Enterprise Linux for Scientific Computing, Desktop, Workstation und Server in Version 6 Sicherheitsupdates für Firefox ESR 68.11. Und Canonical behebt die Schwachstellen für die Distributionen Ubuntu 16.04 LTS, 18.04 LTS und 20.04 LTS durch die Bereitstellung von Sicherheitsupdates für Firefox 79.

Version 4 (2020-07-30 15:45)

Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates bereit, mit denen Firefox auf Version 68.11.0 ESR aktualisiert wird.

Version 5 (2020-07-31 12:02)

Für Debian 10 Buster steht ein Sicherheitsupdate für 'firefox-esr' auf Version 68.11.0esr-1~deb10u1 zur Behebung der Schwachstellen zur Verfügung. Updates auf Firefox 68.11 ESR stehen ebenfalls für Red Hat Enterprise Linux 8.1 EUS und Oracle Linux 8 zur Verfügung. Als weitere Sicherheitsupdates stehen auf Basis von Firefox 79 aktualisierte Pakete im Status 'stable' für Fedora 32 und 'testing' für Fedora 31 bereit.

Version 6 (2020-07-31 16:08)

Für Red Hat Enterprise Linux 7 stehen Sicherheitsupdates für verschiedene Ausprägungen der Distribution bereit, mit denen Firefox ESR auf Version 68.11 aktualisiert wird.

Version 7 (2020-08-03 09:51)

Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (aarch64, x86_64) stehen Sicherheitsupdates für 'firefox' auf Version 68.11.0 build1 bereit, um die entsprechenden Schwachstellen zu beheben. SUSE stellt für SUSE OpenStack Cloud Crowbar 8 und 9, SUSE OpenStack Cloud 7, 8 und 9 sowie die SUSE Linux Enterprise Produkte Software Development Kit 12 SP5, Server for SAP 12 SP2, 12 SP3 und 12 SP4, Server 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5 sowie Storage 5 Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 78.1.0 ESR zur Verfügung, um 10 Schwachstellen zu beheben.

Version 8 (2020-08-04 10:31)

Für Fedora 31 steht ein neues Sicherheitsupdate in Form des Paketes 'firefox-79.0-4.fc31' im Status 'testing' bereit, welches das frühere Sicherheitsupdate FEDORA-2020-cd84dd34c0 (Fedora 31, firefox-79.0-3.fc31) ersetzt, das in den Status 'obsolete' überführt wurde (Referenz hier entfernt).

Version 9 (2020-08-05 12:03)

Für SUSE Linux Enterprise Module for Desktop Applications 15 SP1 steht ein Sicherheitsupdate bereit, mit dem Firefox ESR auf Version 78.1.0 aktualisiert wird.

Version 10 (2020-08-05 18:29)

Für Fedora 31 steht ein neues Sicherheitsupdate im Status 'pending' bereit, mit dem eine Regression im Kontext der Videowiedergabe adressiert wird. Das bisherige Sicherheitsupdate befindet sich damit im Status 'obsolete' (Referenz hier entfernt). Das Sicherheitsupdate für Fedora 32 war zwischenzeitlich im Status 'stable' und ist von dieser Änderung nicht betroffen. Auch hier steht ein Regressionsupdate zur Verfügung. Für openSUSE Leap 15.1 steht ein Sicherheitsupdate bereit, mit dem Firefox ESR auf Version 78.1.0 aktualisiert wird.

Version 11 (2020-08-07 10:35)

Für openSUSE Leap 15.2 sowie SUSE Linux Enterprise Module for Desktop Applications 15 SP2 stehen Sicherheitsupdate bereit, mit denen Firefox ESR auf Version 78.1.0 aktualisiert wird.

Version 12 (2020-08-13 10:35)

Für openSUSE Leap 15.2 steht erneut ein Sicherheitsupdate bereit, mit dem Firefox ESR auf Version 78.1.0 aktualisiert wird.

Version 13 (2020-08-18 19:07)

Für SUSE Linux Enterprise Server 11 SP4 LTSS und SUSE Linux Enterprise Debuginfo 11 SP4 stehen Sicherheitsupdates bereit, mit denen Firefox ESR auf Version 78.1.0 aktualisiert wird.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen in Firefox und Firefox ESR ermöglichen einem entfernten Angreifer mit Hilfe speziell präparierter Webseiten oder Browsererweiterungen die Ausführung beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen und das Ausspähen von Informationen, die Darstellung falscher Informationen sowie weitere, nicht spezifizierte Angriffe. Die meisten der Schwachstellen erfordern eine Benutzerinteraktion. Eine der Schwachstellen kann nur von einem lokalen Angreifer mit üblichen Benutzerrechten auf Windows-Systemen ausgenutzt werden.

Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 79 und Firefox ESR 68.11 und 78.1 als Sicherheitsupdates bereit.

Schwachstellen:

CVE-2020-15649

Schwachstelle in Firefox für Android ermöglicht Ausspähen von Informationen

CVE-2020-15650

Schwachstelle in Firefox für Android ermöglicht Manipulation von Dateien

CVE-2020-15652

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2020-15653

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-15654

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Darstellung falscher Informationen

CVE-2020-15655

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-15656

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht nicht spezifizierte Angriffe

CVE-2020-15657

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-15658

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Darstellung falscher Informationen

CVE-2020-15659

Schwachstellen in Firefox und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-6463

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-6514

Schwachstelle in Google Chrome und Chromium ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.