2020-2452: Mozilla Firefox, Firefox ESR, Thunderbird: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-11-10 08:54)

Neues Advisory

Version 2 (2020-11-11 09:43)

Das Tor-Projekt stellt den Tor Browser in Version 10.0.4 auf Basis von Firefox ESR 78.4.1 als Sicherheitsupdate bereit. Gleichzeitig wird NoScript auf Version 11.1.5 aktualisiert.

Version 3 (2020-11-11 12:16)

Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für Firefox ESR auf Version 78.4.1 zur Verfügung. Fedora stellt für Fedora 31, 32 und 33 sowie für Fedora 33 Flatpaks Sicherheitsupdates bereit, mit denen Firefox auf Version 82.0.3 aktualisiert wird. Diese Updates befinden sich im Status 'testing' oder 'stable'.

Version 4 (2020-11-12 08:49)

Für SUSE Linux Enterprise Server 11 SP4 LTSS und SUSE Linux Enterprise Debuginfo 11 SP4 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 78.4.1 ESR bereit, um die Schwachstelle zu beheben.

Version 5 (2020-11-12 11:02)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für Firefox ESR auf Version 78.4.1 zur Verfügung.

Version 6 (2020-11-13 11:09)

Red Hat veröffentlicht für Red Hat Enterprise Linux for x86_64 / ARM 8, die Red Hat Enterprise Linux Produkte Server, Workstation und Desktop in Version 6 (x86_64, i386) und 7 (x86_64) sowie for Scientific Computing 6 für x86_64-Architekturen Sicherheitsupdates auf die Firefox ESR Version 78.4.1. Oracle stellt ein entsprechendes Sicherheitsupdate für Oracle Linux 7 (x86_64) und SUSE für SUSE Linux Enterprise Module for Desktop Applications 15 SP1 und SP2 bereit.

Version 7 (2020-11-13 17:10)

Debian stellt für Debian 9 Stretch (LTS) und Debian 10 Buster (stable) Sicherheitsupdates bereit, mit denen Thunderbird auf Version 78.4.2 aktualisiert wird.

Version 8 (2020-11-16 09:27)

Für Oracle Linux 6 (i386, x86_64) steht ein Sicherheitsupdate für ' firefox' auf Version 78.4.1 ESR bereit.

Version 9 (2020-11-17 08:39)

Für SUSE OpenStack Cloud Crowbar 8 und 9, SUSE OpenStack Cloud 7, 8 und 9 sowie die SUSE Linux Enterprise Produkt Software Development Kit 12 SP5, Server for SAP 12 SP2, 12 SP3 und 12 SP4, Server 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5 und für SUSE Enterprise Storage 5 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 78.4.1 ESR bereit, um die Schwachstelle zu beheben.

Version 10 (2020-11-17 18:11)

Für openSUSE Leap 15.1 und 15.2 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 78.4.1 ESR bereit, um die Schwachstelle zu beheben.

Version 11 (2020-11-18 09:11)

Für Oracle Linux 8 (aarch64, x86_64) steht ein Sicherheitsupdate für 'firefox' auf Version 78.4.1 ESR bereit. Red Hat stellt für Red Hat Enterprise Linux 8.1 und 8.2 Extended Update Support (x86_64, aarch64) sowie Red Hat Enterprise Linux Server - AUS und TUS 8.2 (x86_64) Sicherheitsupdates für 'firefox' zur Verfügung, womit Firefox ebenfalls auf Version 78.4.1 ESR aktualisiert wird.

Version 12 (2020-11-20 11:38)

Für Red Hat Enterprise Linux for x86_64 8 (x86_64), Red Hat Enterprise Linux for ARM 64 8 (aarch64) und Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'thunderbird' zur Behebung der Schwachstelle bereit, womit Thunderbird auf Version 78.4.3 aktualisiert wird. Für SUSE Linux Enterprise Workstation Extension 15 SP1 und 15 SP2 wird die Schwachstelle durch Sicherheitsupdates für 'thunderbird' auf Version 78.4.2 behoben. Thunderbird 78.5 wurde kürzlich von Mozilla veröffentlicht, für die obigen Distributionen stehen aber noch keine Sicherheitsupdates auf dieses Release zur Verfügung.

Version 13 (2020-11-23 15:52)

Für Red Hat Enterprise Linux 6 (Server, Workstation und Desktop) (x86_64, i386), Red Hat Enterprise Linux 8.1 und 8.2 Extended Update Support (x86_64, aarch64) sowie Red Hat Enterprise Linux Server - AUS und TUS 8.2 (x86_64) stehen Sicherheitsupdates für 'thunderbird' zur Behebung der Schwachstelle bereit, womit Thunderbird auf Version 78.4.3 aktualisiert wird. Thunderbird 78.5 wurde kürzlich von Mozilla veröffentlicht, für die obigen Distributionen stehen aber noch keine Sicherheitsupdates auf dieses Release zur Verfügung.

Version 14 (2020-11-23 17:04)

Für Red Hat Enterprise Linux 7 (Server, Workstation und Desktop) (x86_64) stehen Sicherheitsupdates für 'thunderbird' zur Behebung der Schwachstelle bereit, womit Thunderbird auf Version 78.4.3 aktualisiert wird.

Version 15 (2020-11-24 10:39)

Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen Sicherheitsupdates für 'thunderbird' zur Behebung der Schwachstelle bereit, womit Thunderbird auf Version 78.4.3 aktualisiert wird.

Version 16 (2020-11-26 14:04)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'thunderbird' zur Behebung der Schwachstelle bereit, womit Thunderbird auf Version 78.4.2 aktualisiert wird.

Version 17 (2020-12-02 09:17)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'thunderbird' zur Behebung der Schwachstelle bereit, womit Thunderbird auf Version 78.4.2 aktualisiert wird.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen.

Die Schwachstelle wurde kürzlich bei einem Sicherheitswettbewerb (Tianfu Cup 2020 International Cybersecurity Contest) öffentlich demonstriert.

Die Mozilla Foundation stellt Firefox 82.0.3, Firefox ESR 78.4.1 und Thunderbird 78.4.2 als Sicherheitsupdates bereit.

Schwachstellen:

CVE-2020-26950

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.