2020-2736: Mozilla Firefox, Firefox ESR: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2020-12-16 14:10)
- Neues Advisory
- Version 2 (2020-12-17 11:05)
- Für Debian 9 Stretch (LTS) steht die Version 78.6.0esr-1~deb9u1 und für Debian 10 Buster (stable) die Version 78.6.0esr-1~deb10u1 von 'firefox-esr' zur Behebung der betreffenden Schwachstellen zur Verfügung.
- Version 3 (2020-12-18 15:36)
- Für Red Hat Enterprise Linux 7 (Desktop, Server, Workstation) (x86_64), Red Hat Enterprise Linux 8 (x86_64, aarch64), Red Hat Enterprise Linux Extended Update Support 8.1 und 8.2 (x86_64, aarch64) sowie Red Hat Enterprise Linux Server AUS / TUS 8.2 (x86_64) stehen Sicherheitsupdates für 'firefox' in Form eines Updates auf Version 78.6.0 ESR bereit, um die Schwachstellen zu beheben. Für Fedora 32 und 33 stehen Sicherheitsupdates für 'firefox' auf Version 84 im Status 'pending' bereit.
- Version 4 (2020-12-18 16:37)
- Für Oracle Linux 7 (x86_64, aarch64) steht ein Sicherheitsupdate für 'firefox' in Form eines Updates auf Version 78.6.0 ESR bereit, um die Schwachstellen zu beheben.
- Version 5 (2020-12-21 17:36)
- Für SUSE Linux Enterprise Server 11 SP4 LTSS und SUSE Linux Enterprise Debuginfo 11 SP4 stehen Sicherheitsupdates bereit, mit denen 'MozillaFirefox' auf Version 78.6.0 ESR aktualisiert wird.
- Version 6 (2020-12-22 09:37)
- Für SUSE OpenStack Cloud 7, 8 und 9, Crowbar 8 und 9, SUSE Linux Enterprise Server 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5, Server for SAP 12 SP2, 12 SP3 und SP4, SUSE Enterprise Storage 5 sowie SUSE Linux Enterprise Module for Desktop Applications 15 SP1 und SP2 stehen Sicherheitsupdate für 'MozillaFirefox' auf Version 78.6.0 ESR bereit, um die Schwachstellen zu schließen.
- Version 7 (2020-12-23 14:01)
- Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für MozillaFirefox auf Version 78.6.0 ESR bereit.
- Version 8 (2020-12-28 09:35)
- Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für MozillaFirefox auf Version 78.6.0 ESR bereit.
Betroffene Software
Office
Sicherheit
Betroffene Plattformen
Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen, falsche Informationen darzustellen und nicht spezifizierte Angriffe durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen und falsche Informationen darzustellen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.
Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 84 und Firefox ESR 78.6 als Sicherheitsupdates bereit.
Das Tor-Projekt stellt den Tor Browser in Version 10.0.7 auf Basis von Firefox ESR 78.6 als Sicherheitsupdate bereit. Gleichzeitig werden HTTPS Everywhere auf Version 2020.11.17 und openssl auf Version 1.1.1i aktualisiert. Für Android erfolgt ein Update für Firefox auf Version 84.1.0 und NoScript wird auf Version 11.1.6 aktualisiert.
Canonical stellt für Ubuntu 20.10, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für 'firefox' auf Version 84.0 zur Verfügung.
Schwachstellen:
CVE-2020-16042
Schwachstelle in V8 und beim Verarbeiten von BigInts ermöglicht nicht spezifizierte AngriffeCVE-2020-26971
Schwachstelle in WebGL ermöglicht Denial-of-Service-AngriffCVE-2020-26972
Schwachstelle in WebGL ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-26973
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Umgehen von SicherheitsvorkehrungenCVE-2020-26974
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-26975
Schwachstelle in Firefox für Android ermöglicht Darstellen falscher InformationenCVE-2020-26976
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-26977
Schwachstelle in Firefox für Android ermöglicht Darstellen falscher InformationenCVE-2020-26978
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2020-26979
Schwachstelle in Firefox ermöglicht Darstellen falscher InformationenCVE-2020-35111
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2020-35112
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-35113
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-35114
Schwachstelle in Firefox ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.