2021-1695: Mozilla Firefox, Mozilla Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-08-10 19:15)

Neues Advisory

Version 2 (2021-08-11 10:33)

Das Tor Projekt veröffentlicht den Tor Browser in Version 10.5.4 auf Basis von Firefox 78.13.0esr als Sicherheitsupdate. Ferner werden NoScript auf Version 11.2.11 und Go auf Version 1.15.14 aktualisiert.

Version 3 (2021-08-12 09:41)

Canonical stellt für Ubuntu 21.04, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für Firefox auf Version 91.0 bereit, um die Schwachstellen zu beheben.

Version 4 (2021-08-12 18:34)

Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'firefox-esr' auf Version 78.13.0esr-1~deb10u1 bereit, um die betreffenden Schwachstellen zu beheben.

Version 5 (2021-08-13 09:58)

Für SUSE Linux Enterprise Server 11 SP4 LTSS und SUSE Linux Enterprise Debuginfo 11 SP4 steht ein Sicherheitsupdate für 'MozillaFirefox' auf das Firefox Extended Support Release 78.13.0 ESR (MFSA 2021-34) zur Verfügung. Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'firefox-esr' auf Version 78.13.0esr-1~deb9u1 bereit, um die betreffenden Schwachstellen zu beheben.

Version 6 (2021-08-16 10:41)

Für Fedora 33 und 34 stehen Sicherheitsupdates in Form von 'firefox-91.0-1'-Paketen bereit, um die Schwachstellen zu beheben. Das Sicherheitsupdate für Fedora 33 befindet sich im Status 'testing', während dasjenige für Fedora 34 noch 'pending' ist.

Version 7 (2021-08-16 18:38)

Für Red Hat Enterprise Linux 7 (Server, Workstation, Desktop), Red Hat Enterprise Linux 8, 8.1 Extended Update Support, 8.2 Extended Update Support (inklusive Server AUS / TUS) sowie 8.4 Extended Update Support (inklusive Server AUS / TUS) stehen Sicherheitsupdates für Firefox auf Version 78.13.0 ESR bereit, um die betreffenden Schwachstellen zu beheben.

Version 8 (2021-08-17 10:12)

Für Oracle Linux 7 und 8 stehen Sicherheitsupdates bereit, mit dem Firefox auf Version 78.13.0 aktualisiert wird. SUSE stellt für SUSE OpenStack Cloud 8 und 9, Crowbar 8 und 9, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP3 und 12 SP4 sowie SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5 Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 78.13.0 ESR (MFSA 2021-34) bereit, um die betreffenden Schwachstellen zu beheben.

Version 9 (2021-08-17 18:46)

Für SUSE Manager Server, Retail Branch Server und Proxy jeweils in Version 4.0, SUSE Linux Enterprise Server for SAP 15 und 15 SP1, SUSE Linux Enterprise Server 15 LTSS und 15 SP1 BCL / LTSS, SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS sowie SUSE Enterprise Storage 6 und SUSE CaaS Platform 4.0 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 78.13.0 ESR (MFSA 2021-34) bereit, um die betreffenden Schwachstellen zu beheben.

Version 10 (2021-08-20 09:46)

Für openSUSE Leap 15.3 sowie SUSE Linux Enterprise Module for Desktop Applications 15 SP2 und SP3 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 78.13.0 ESR (MFSA 2021-34) bereit, um die betreffenden Schwachstellen zu beheben.

Version 11 (2021-08-24 09:32)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'MozillaFirefox' auf das Firefox Extended Support Release 78.13.0 ESR (MFSA 2021-34) bereit, um die betreffenden Schwachstellen zu beheben.

Version 12 (2021-08-26 10:54)

Canonical informiert darüber, dass mit USN-5037-1 eine Regression eingeführt wurde, durch die Firefox wiederholt nach dem Passwort fragte, und stellt für Ubuntu 21.04, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS erneut Sicherheitsupdates für Firefox auf Version 91.0 bereit, um dieses Problem zu beheben.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Privilegien zu eskalieren, beliebigen Programmcode auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um Informationen auszuspähen. Für die Ausnutzung der Schwachstellen aus der Ferne sind keine Privilegien erforderlich, sie erfordern allerdings die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung von CVE-2021-29983 kann Einfluss auf andere Komponenten betroffener Systeme haben.

Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 91 und Firefox ESR 78.13 als Sicherheitsupdates bereit. Die Schwachstelle CVE-2021-29983 betrifft nur Firefox für Android, die Schwachstellen CVE-2021-29986 und CVE-2021-29987 betreffen nur Firefox auf Linux-Systemen.

Schwachstellen:

CVE-2021-29980

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-29981

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-29982

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2021-29983

Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff

CVE-2021-29984

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-29985

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-29986

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-29987

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Privilegieneskalation

CVE-2021-29988

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-29989

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-29990

Schwachstellen in Mozilla Firefox ermöglichen Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.