2021-0405: Mozilla Firefox, Firefox ESR: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-02-24 13:16)
- Neues Advisory
- Version 2 (2021-02-25 12:28)
- Für Red Hat Enterprise Linux 7, 8, 8.1 Extended Update Support und 8.2 Extended Update Support stehen Sicherheitsupdates für 'firefox' auf Version 78.8.0 ESR bereit, um die betreffenden Schwachstellen zu beheben.
- Version 3 (2021-02-25 13:27)
- Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'firefox-esr' in Version 78.8.0esr-1~deb9u1 zur Verfügung.
- Version 4 (2021-02-25 17:52)
- Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'firefox-esr' in Version 78.8.0esr-1~deb10u1 zur Verfügung.
- Version 5 (2021-02-26 09:15)
- Für Oracle Linux 7 und 8 stehen Sicherheitsupdates für 'firefox' auf Version 78.8.0 ESR bereit, um die betreffenden Schwachstellen zu beheben.
- Version 6 (2021-03-01 09:58)
- Canonical stellt für Ubuntu 20.10, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für 'firefox' auf Version 86.0 bereit, um die betreffenden Schwachstellen zu beheben.
- Version 7 (2021-03-01 11:06)
- Für Fedora 32 und 33 stehen Sicherheitsupdates in Form der Pakete 'firefox-86.0-2.fc32' im Status 'pending', 'firefox-86.0-2.fc33' im Status 'stable' sowie 'firefox-stable-3320210227163630.1', 'flatpak-runtime-f33-3320210224151549.2' und 'flatpak-sdk-f33-3320210224151549.1' im Status 'testing' bereit.
- Version 8 (2021-03-02 08:38)
- Für SUSE OpenStack Cloud 7, 8, 9, Crowbar 8 und 9 sowie die SUSE Linux Enterprise Produkte Software Development Kit 12 SP5, Server for SAP 12 SP2, 12 SP3 und 12 SP4, Server 11 SP4 LTSS, 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5, Module for Desktop Applications 15 SP2 und 15 SP3 stehen Sicherheitsupdates für 'firefox' auf das Firefox Extended Support Release 78.8.0 ESR bereit, um die betreffenden Schwachstellen zu beheben.
- Version 9 (2021-03-02 17:32)
- Für die SUSE Manager Produkte Server, Retail Branch Server und Proxy jeweils in Version 4.0, die SUSE Linux Enterprise Produkte Server for SAP 15 SP1, Server 15 SP1 BCL / LTSS und High Performance Computing 15 SP1 BCL / LTSS sowie für SUSE Enterprise Storage 6 und SUSE CaaS Platform 4.0 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 78.8.0 ESR bereit, um die betreffenden Schwachstellen zu beheben.
- Version 10 (2021-03-03 09:29)
- Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'MozillaFirefox' auf das Firefox Extended Support Release 78.8.0 ESR bereit, um die betreffenden Schwachstellen zu beheben.
- Version 11 (2021-03-04 11:20)
- Für Fedora 32 steht ein neues Sicherheitsupdate in Form des Pakets 'firefox-86.0-7.fc32' im Status 'testing' bereit, welches das frühere Update FEDORA-2021-65560a4c0c (Fedora 32, firefox-86.0-2.fc32) ersetzt, das in den Status 'obsolete' versetzt wurde (Referenz hier entfernt).
- Version 12 (2021-04-01 09:59)
- Fedora veröffentlicht für Fedora 32 und 33 sowie für Fedora EPEL 7 und 8 Sicherheitsupdates für 'seamonkey' auf Version 2.53.7, mit denen die Fixes für Schwachstellen rückportiert werden, die mit Firefox 78.8 ESR behoben worden sind.
- Version 13 (2021-04-06 10:19)
- Für Fedora 32 und 33 sowie Fedora EPEL 7 und 8 stehen neue Sicherheitsupdates in Form von 'seamonkey-2.53.7-2'-Paketen im Status 'testing' bereit, welche die früheren Updates ersetzen, da diese wegen Problemen mit älteren JavaScript-Erweiterungen (Legacy) in den Status 'obsolete' versetzt wurden (Referenzen hier entfernt).
- Version 14 (2021-04-12 10:11)
- Für Fedora 32 und 33 sowie Fedora EPEL 7 und 8 stehen erneut aktualisierte Sicherheitsupdates im Status 'testing' bereit, da es bei den bisherigen Updates u. a. zu einem Problem beim Öffnen von Tabs im Hintergrund gekommen ist (Referenzen hier entfernt).
Betroffene Software
Office
Sicherheit
Betroffene Plattformen
Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe und einen Mutation-Cross-Site-Scripting (mXSS)-Angriff durchzuführen, Informationen auszuspähen und Sicherheitsvorkehrungen zu umgehen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen und falsche Informationen darzustellen. Alle Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.
Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 86 und Firefox ESR 78.8 als Sicherheitsupdates bereit.
Das Tor-Projekt stellt den Tor Browser in Version 10.0.12 auf Basis von Firefox ESR 78.8 als Sicherheitsupdate bereit. Gleichzeitig werden NoScript auf Version 11.2.2, Openssl auf Version 1.1.1j und Tor auf Version 0.4.5.6 aktualisiert.
Schwachstellen:
CVE-2021-23968
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2021-23969
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2021-23970
Schwachstelle in Firefox ermöglicht Denial-of-Service-AngriffCVE-2021-23971
Schwachstelle in Firefox ermöglicht Ausspähen von InformationenCVE-2021-23972
Schwachstelle in Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-23973
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2021-23974
Schwachstelle in Firefox ermöglicht Cross-Site-Scripting-AngriffCVE-2021-23975
Schwachstelle in Firefox ermöglicht Denial-of-Service-AngriffCVE-2021-23976
Schwachstelle in Mozilla Firefox ermöglicht Darstellen falscher InformationenCVE-2021-23977
Schwachstelle in Firefox ermöglicht Ausspähen von InformationenCVE-2021-23978
Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-23979
Schwachstelle in Firefox ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.