2020-2527: Mozilla Firefox, Firefox ESR: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-11-18 12:36): Neues Advisory
Version 2 (2020-11-19 12:52): Für Fedora 31, 32 und 33 stehen Sicherheitsupdates in Form der Pakete 'firefox-master-3320201118073844.1' und 'firefox-83.0-3.fc31' im Status 'testing' sowie 'firefox-83.0-3.fc32' und 'firefox-83.0-3.fc33' im Status 'stable' bereit. Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'firefox-esr' in Version 78.5.0esr-1~deb9u1 zur Verfügung, um die betreffenden Schwachstellen zu beheben.
Version 3 (2020-11-19 16:56): Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'firefox-esr' in Version 78.5.0esr-1~deb10u1 zur Verfügung, um die betreffenden Schwachstellen zu beheben.
Version 4 (2020-11-19 17:53): Für SUSE Linux Enterprise Module for Desktop Applications 15 SP1 steht ein Sicherheitsupdate für 'MozillaFirefox' auf das Firefox Extended Support Release 78.5.0 ESR zur Verfügung, um die betreffenden Schwachstellen zu beheben.
Version 5 (2020-11-20 18:04): Für die SUSE Linux Enterprise Produkte Server 11 SP4 LTSS, Debuginfo 11 SP4 und Module for Desktop Applications 15 SP2 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 78.5.0 ESR zur Verfügung, um die betreffenden Schwachstellen zu beheben.
Version 6 (2020-11-26 15:11): Für openSUSE Leap 15.2 steht ein Sicherheitsupdate bereit, womit 'MozillaFirefox' auf Version 78.5.0 ESR aktualisiert wird, um die betreffenden Schwachstellen zu beheben.
Version 7 (2020-11-27 15:52): Für openSUSE Leap 15.1 steht ebenfalls ein Sicherheitsupdate bereit, mit dem 'MozillaFirefox' auf Version 78.5.0 ESR aktualisiert wird.
Version 8 (2020-11-30 10:51): Für SUSE OpenStack Cloud Crowbar 8 und 9, SUSE OpenStack Cloud 7, 8 und 9 sowie die SUSE Linux Enterprise Produkte Software Development Kit 12 SP5, Server for SAP 12 SP2, 12 SP3 und 12 SP4, Server 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5 sowie für SUSE Enterprise Storage 5 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 78.5.0 ESR zur Verfügung, um die betreffenden Schwachstellen zu beheben.
Version 9 (2020-11-30 14:01): Für Red Hat Enterprise Linux 8.1 und 8.2 Extended Update Support (x86_64, aarch64) sowie Red Hat Enterprise Linux Server AUS und TUS 8.2 (x86_64) stehen Sicherheitsupdates für 'firefox' zur Verfügung, womit Firefox auf die Version 78.5.0 ESR aktualisiert wird.
Version 10 (2020-12-01 11:04): Für Red Hat Enterprise Linux 6 (Server, Workstation, Desktop, for Scientific Computing), Red Hat Enterprise Linux 7 (Server, Workstation, Desktop) und Red Hat Enterprise Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates bereit, womit Firefox auf Version 78.5.0 ESR aktualisiert wird. Für Oracle Linux 7 (x86_64) und 8 (x86_64, aarch64) stehen ebenfalls entsprechende Sicherheitsupdates zur Verfügung.
Version 11 (2020-12-02 10:32): Für Oracle Linux 6 (i386, x86_64) stehen ebenfalls entsprechende Sicherheitsupdates zur Verfügung.
Version 12 (2020-12-23 13:58): Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für MozillaFirefox auf Version 78.5.0 ESR bereit.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-Angriff und einen Denial-of-Service (DoS)-Angriff durchzuführen. Eine Schwachstelle kann im benachbarten Netzwerk ausgenutzt werden, um Informationen auszuspähen. Und ein Angreifer kann eine weitere Schwachstelle lokal ausnutzen, um falsche Informationen darzustellen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 83 und Firefox ESR 78.5 als Sicherheitsupdates bereit.

Das Tor-Projekt stellt den Tor Browser in Version 10.0.5 auf Basis von Firefox ESR 78.5 als Sicherheitsupdate bereit. Gleichzeitig wird Tor auf Version 0.4.4.6 aktualisiert.

Schwachstellen:

CVE-2020-15999

Schwachstelle in FreeType ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-16012

Schwachstelle in Skia ermöglicht Ausspähen von Informationen

CVE-2020-26951

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Umgehen von Sicherheitsvorkehrungen

CVE-2020-26952

Schwachstelle in Firefox ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-26953

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-26954

Schwachstelle in Firefox ermöglicht ermöglicht Darstellen falsche Informationen

CVE-2020-26955

Schwachstelle in Firefox ermöglicht ermöglicht Ausspähen von Informationen

CVE-2020-26956

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-26957

Schwachstelle in Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-26958

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Cross-Site-Scripting-Angriff

CVE-2020-26959

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-26960

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-26961

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-26962

Schwachstelle in Firefox ermöglicht Ausspähen von Informationen

CVE-2020-26963

Schwachstelle in Firefox ermöglicht Denial-of-Service-Angriff

CVE-2020-26964

Schwachstelle in Firefox ermöglicht Privilegieneskalation

CVE-2020-26965

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2020-26966