2021-0174: Mozilla Firefox, Firefox ESR: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-01-27 13:37)
- Neues Advisory
- Version 2 (2021-01-28 09:26)
- Für Oracle Linux 7 sowie Red Hat Enterprise Linux 7 (Server, Workstation, Desktop), Red Hat Enterprise Linux 8, 8.1 Extended Update Support und 8.2 Extended Update Support stehen Sicherheitsupdates für Firefox auf die Version 78.7.0 ESR zur Verfügung.
- Version 3 (2021-01-28 13:01)
- Für Debian 10 Buster (stable) steht die Version 78.7.0esr-1~deb10u1 von 'firefox-esr' zur Behebung der betreffenden Schwachstellen zur Verfügung.
- Version 4 (2021-01-29 10:10)
- Für Oracle Linux 8 steht ein Sicherheitsupdate bereit, mit dem Firefox ESR auf Version 78.7 aktualisiert wird. Darüber hinaus steht ein neues Sicherheitsupdate für Fedora 33 im Status 'testing' bereit, mit dem eine Regression behoben wird (Absturz von Firefox 85 beim Start). Das bisherige Sicherheitsupdate befindet sich bereits im Status 'stable' und ist aufgrund der damit ausgelieferten neuen Version von 'nss' Voraussetzung für das neue Update.
- Version 5 (2021-01-29 17:50)
- Für SUSE OpenStack Cloud 7, 8 und 9, SUSE OpenStack Cloud Crowbar 8 und 9, die SUSE Linux Enterprise Produkte Server 11 SP4 LTSS, 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5, Server for SAP 12 SP2, 12 SP3 und 12 SP4, Debuginfo 11 SP4, Software Development Kit 12 SP5 sowie SUSE Enterprise Storage 5 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 78.7.0 ESR bereit, um die betreffenden fünf Schwachstellen zu beheben.
- Version 6 (2021-02-01 09:59)
- Für SUSE Container-as-a-Service Platform 4.0, SUSE Enterprise Storage 6, SUSE Linux Enterprise High Performance Computing 15 SP1 ESPOS und LTSS, SUSE Linux Enterprise Module for Desktop Applications 15 SP1, SUSE Linux Enterprise Server 15 SP1 BCL und LTSS, SUSE Linux Enterprise Server for SAP 15 SP1 sowie SUSE Manager Proxy und Server 4.0 stehen Sicherheitsupdates bereit, mit denen 'MozillaFirefox' auf Version 78.7.0 ESR aktualisiert wird.
- Version 7 (2021-02-02 09:28)
- Für SUSE Linux Enterprise Module for Desktop Applications 15 SP2 und SP3 sowie openSUSE Leap 15.1 und 15.2 stehen Sicherheitsupdates bereit, mit denen 'MozillaFirefox' auf Version 78.7.0 ESR aktualisiert wird. Canonical stellt für Ubuntu 20.10, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates bereit, mit denen 'firefox' auf Version 85.0 aktualisiert wird.
- Version 8 (2021-02-02 14:54)
- Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate auf Basis von Firefox 78.7.0 ESR zur Verfügung.
- Version 9 (2021-02-10 09:14)
- Canonical stellt neue Sicherheitsupdates für Ubuntu 20.10, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS zur Verfügung, da es bei einigen Installationen zum Absturz während des Starts von Firefox gekommen ist.
Betroffene Software
Office
Sicherheit
Betroffene Plattformen
Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe durchzuführen, einen Clickjacking-Angriff durchzuführen, Informationen auszuspähen, Privilegien zu eskalieren, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen und Sicherheitsvorkehrungen zu umgehen. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.
Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 85 und Firefox ESR 78.7 als Sicherheitsupdates bereit.
Das Tor-Projekt stellt den Tor Browser in Version 10.0.9 auf Basis von Firefox ESR 78.7 als Sicherheitsupdate bereit. Gleichzeitig werden NoScript auf Version 11.1.9 und Go auf Version 1.14.14 aktualisiert.
Für Fedora 32, 33 und 33 (Flatpaks) stehen Sicherheitsupdates für 'firefox' auf Version 85 im Status 'pending' bzw. 'testing' bereit.
Schwachstellen:
CVE-2020-26976
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-23953
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2021-23954
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2021-23955
Schwachstelle in Firefox ermöglicht Clickjacking-AngriffCVE-2021-23956
Schwachstelle in Firefox ermöglicht Ausspähen von InformationenCVE-2021-23957
Schwachstelle in Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-23958
Schwachstelle in Firefox ermöglicht Ausspähen von InformationenCVE-2021-23959
Schwachstelle in Firefox ermöglicht Cross-Site-Scripting-AngriffCVE-2021-23960
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2021-23961
Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2021-23962
Schwachstelle in Firefox ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2021-23963
Schwachstelle in Firefox ermöglicht nicht spezifizierten AngriffCVE-2021-23964
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-23965
Schwachstelle in Firefox ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.