2020-1852: Mozilla Firefox, Firefox ESR: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2020-08-26 15:26)
- Neues Advisory
- Version 2 (2020-08-26 18:00)
- Red Hat stellt für Red Hat Enterprise Linux 6 (Server, Workstation, Desktop, for Scientific Computing) und 7 (Server, Workstation, Desktop) Sicherheitsupdates für Firefox auf Version 68.12.0 ESR bereit, um die betreffenden Schwachstellen zu beheben. Für Red Hat Enterprise Linux 8, Red Hat Enterprise Linux 8.1 Extended Update Support und 8.2 Extended Update Support sowie Red Hat Enterprise Linux Server - AUS 8.2 und TUS 8.2 stehen Sicherheitsupdates für Firefox auf Version 78.2.0 ESR zur Verfügung.
- Version 3 (2020-08-27 11:42)
- Für Oracle Linux 6 (i386, x86_64) steht ein Sicherheitsupdate für Firefox auf Version 68.12.0 ESR bereit, um die betreffenden Schwachstellen zu beheben. Für Debian 10 Buster (stable) steht ebenfalls ein Sicherheitsupdate für 'firefox-esr' bereit, womit das Paket auf Version 68.12.0esr-1~deb10u1 aktualisiert wird. Canonical stellt für Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für Firefox auf Version 80.0 zur Verfügung.
- Version 4 (2020-08-27 16:24)
- Für Debian 9 Buster (LTS) steht ein Sicherheitsupdate für 'firefox-esr' bereit, womit das Paket auf Version 68.12.0esr-1~deb9u1 aktualisiert wird.
- Version 5 (2020-08-31 12:13)
- Für Oracle Linux 8 (aarch64, x86_64) steht ein Sicherheitsupdate für Firefox auf Version 78.2.0 ESR bereit, um die betreffenden Schwachstellen zu beheben.
- Version 6 (2020-09-04 12:38)
- Canonical hat mit den Sicherheitsupdates für Mozilla Firefox für Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS mehrere Regressionen eingeführt, die durch ein erneut bereitgestelltes Update behoben werden.
- Version 7 (2020-09-07 13:37)
- Für SUSE OpenStack Cloud 7, 8 und 9, SUSE OpenStack Cloud Crowbar 8 und 9 sowie die SUSE Linux Enterprise Produkte Storage 5, Software Development Kit 12 SP5, Server 12 SP2 BCL / LTSS, 12 SP3 BCL/ LTSS, 12 SP4 LTSS und 12 SP5 sowie Server for SAP 12 SP2, 12 SP3 und 12 SP4 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 78.2.0 ESR bereit.
- Version 8 (2020-09-08 10:06)
- Für SUSE Linux Enterprise Module for Desktop Applications 15 SP1 steht ein Sicherheitsupdate für 'MozillaFirefox' auf das Firefox Extended Support Release 78.2.0 ESR bereit.
- Version 9 (2020-09-08 18:32)
- Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'MozillaFirefox' auf das Firefox Extended Support Release 78.2.0 ESR bereit.
- Version 10 (2020-09-09 10:17)
- Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'MozillaFirefox' auf das Firefox Extended Support Release 78.2.0 ESR zur Verfügung. Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für Firefox auf Version 68.12.0 ESR bereit, um die betreffenden Schwachstellen zu beheben.
- Version 11 (2020-09-15 10:57)
- Für die SUSE Linux Enterprise Produkte Server 11 SP4 LTSS und Debuginfo 11 SP4 stehen Sicherheitsupdates auf die Firefox ESR Version 78.2.0 zur Verfügung.
Betroffene Software
Office
Sicherheit
Betroffene Plattformen
Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle
Beschreibung:
Mehrere Schwachstellen in Firefox und Firefox ESR ermöglichen einem entfernten Angreifer mit Hilfe speziell präparierter Webseiten oder Browser-Erweiterungen das Umgehen von Sicherheitsvorkehrungen, das Ausführen beliebigen Programmcodes, das Eskalieren von Privilegien, das Ausspähen von Informationen und das Darstellen falscher Informationen. Eine der Schwachstellen kann nur auf Windows-Systemen ausgenutzt werden. Mehrere weitere Schwachstellen in Network Security Services (NSS) ermöglichen einem lokalen Angreifer mit Hilfe verschiedener Seitenkanal-Angriffe das Ausspähen von Informationen. Die meisten der Schwachstellen erfordern eine Benutzerinteraktion.
Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 80 und Firefox ESR 68.12 und 78.2 als Sicherheitsupdates bereit.
Das Tor-Projekt veröffentlicht den Tor Browser 9.5.4 basierend auf Firefox ESR 68.12, um die betreffenden Schwachstellen zu schließen.
Für Fedora 31 und 32 stehen Sicherheitsupdates in Form der Pakete 'firefox-80.0-1.fc31' und 'firefox-80.0-1.fc32' bereit, welche sich derzeit noch im Status 'pending' befinden.
Schwachstellen:
CVE-2020-12400
Schwachstelle in Network Security Services (NSS) ermöglicht Ausspähen von InformationenCVE-2020-12401
Schwachstelle in Network Security Services (NSS) ermöglicht Ausspähen von InformationenCVE-2020-15663
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Privilegieneskalation und Ausführen beliebigen ProgrammcodesCVE-2020-15664
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-15665
Schwachstelle in Firefox ermöglicht Darstellen falscher InformationenCVE-2020-15666
Schwachstelle in Firefox ermöglicht Ausspähen von InformationenCVE-2020-15667
Schwachstelle in Firefox ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-15668
Schwachstelle in Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-15670
Schwachstellen in Firefox, Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen ProgrammcodesCVE-2020-6829
Schwachstelle in Network Security Services (NSS) ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.