2020-2281: Mozilla Firefox, Firefox ESR: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-10-21 16:14)

Neues Advisory

Version 2 (2020-10-22 11:25)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'firefox-esr' in Version 78.4.0esr-1~deb9u1 bereit, um die betreffenden Schwachstellen zu beheben.

Version 3 (2020-10-22 15:38)

Für Debian 10 (Buster) steht ein Sicherheitsupdate für 'firefox-esr' in Version 78.4.0esr-1~deb10u2 bereit, um die betreffenden Schwachstellen zu beheben.

Version 4 (2020-10-23 11:33)

Für Red Hat Enterprise Linux Server 7 (Server, Workstation, Desktop), Red Hat Enterprise Linux 8, Red Hat Enterprise Linux 8.1 EUS, Red Hat Enterprise Linux 8.2 EUS sowie Red Hat Enterprise Linux Server 8.2 AUS und TUS stehen Sicherheitsupdates für 'firefox' bereit, um die Schwachstellen zu beheben.

Version 5 (2020-10-23 16:40)

Canonical stellt für Ubuntu 20.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für Firefox auf Version 82.0 zur Verfügung, um die Schwachstellen zu beheben.

Version 6 (2020-10-26 10:46)

Für SUSE Linux Enterprise Module for Desktop Applications 15 SP1 und 15 SP2, openSUSE Leap 15.1 sowie Oracle Linux 7 (aarch64, x86_64) stehen Sicherheitsupdates für MozillaFirefox auf das Firefox Extended Support Release 78.4.0 ESR zur Verfügung, um die betreffenden beiden Schwachstellen zu beheben.

Version 7 (2020-10-26 17:26)

Für Red Hat Enterprise Linux 6 (Server, Workstation, Desktop, for Scientific Computing) sowie SUSE Linux Enterprise Server 11 SP4 LTSS und SUSE Linux Enterprise Debuginfo 11 SP4 stehen Sicherheitsupdates für MozillaFirefox auf das Firefox Extended Support Release 78.4.0 ESR bereit, um die betreffenden Schwachstellen zu beheben.

Version 8 (2020-10-27 08:34)

Canonical stellt zu USN-4599-1 korrespondierend nun auch für Ubuntu 16.04 LTS Sicherheitsupdates für Firefox auf Version 82.0 zur Verfügung, um die Schwachstellen zu beheben. Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für MozillaFirefox auf das Firefox Extended Support Release 78.4.0 ESR zur Verfügung, um die betreffenden beiden Schwachstellen zu beheben.

Version 9 (2020-10-28 10:05)

Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'firefox' auf das Firefox Extended Support Release 78.4.0 ESR zur Verfügung, um die betreffenden beiden Schwachstellen zu beheben. SUSE stellt für SUSE OpenStack Cloud 7, 8 und 9, Crowbar 8 und 9, die SUSE Linux Enterprise Produkte Software Development Kit 12 SP5, Server for SAP 12 SP2, 12 SP3 und 12 SP4, Server 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5 sowie SUSE Enterprise Storage 5 Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 78.4.0 ESR zur Verfügung.

Version 10 (2020-11-02 10:43)

Für Fedora 33 steht ein Sicherheitsupdate in Form des Pakets 'firefox-82.0.2-1.fc33' im Status 'stable' bereit, um die Schwachstellen zu schließen.

Version 11 (2020-11-13 12:50)

Für Fedora 31, 32 und 33 sowie für Fedora EPEL 7 und 8 stehen Sicherheitsupdates im Status 'testing' bereit, mit denen SeaMonkey auf Version 2.53.5 aktualisiert wird. Diese Version basiert auf dem Sicherheitsniveau von Firefox 60.8 ESR mit zusätzlichen Backports aus Firefox 78.4 ESR.

Version 12 (2020-11-16 11:18)

Für Fedora 31, 32 und 33 sowie für Fedora EPEL 7 und 8 stehen neue Sicherheitsupdates für SeaMonkey auf Version 2.53.5 im Status 'testing' bereit, welche die vorherigen ersetzen, die in den Status 'obsolete' versetzt wurden (Referenzen hier entfernt).

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen in Firefox und Firefox ESR ermöglichen einem entfernten Angreifer die Ausführung beliebigen Programmcodes, die Darstellung falscher Informationen, das Ausspähen von Informationen sowie verschiedene Denial-of-Service (DoS)- und möglicherweise weitere Angriffe. Alle Angriffe erfordern die Interaktion eines Benutzers.

Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 82 und Firefox ESR 78.4 als Sicherheitsupdates bereit.

Für Fedora 31, 32 und 32 Flatpaks stehen Sicherheitsupdates auf die aktuelle Version von Firefox im Status 'testing' bereit.

Das Tor-Projekt stellt den Tor Browser in Version 10.0.2 auf Basis von Firefox ESR 78.4 als Sicherheitsupdate bereit. Gleichzeitig wird NoScript auf Version 11.1.3 aktualisiert.

Schwachstellen:

CVE-2020-15254

Schwachstelle in Crossbeam ermöglicht nicht spezifizierte Angriffe

CVE-2020-15680

Schwachstelle in Firefox ermöglicht Ausspähen von Informationen

CVE-2020-15681

Schwachstelle in Firefox ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-15682

Schwachstelle in Firefox ermöglicht Darstellung falscher Informationen

CVE-2020-15683

Schwachstellen in Firefox, Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-15684

Schwachstellen in Firefox ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-15969

Schwachstelle in usersctp ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.