2021-1888: Mozilla Firefox, Mozilla Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-09-08 17:54)

Neues Advisory

Version 2 (2021-09-09 12:28)

Das Tor Projekt veröffentlicht den Tor Browser in Version 10.5.6 auf Basis von Firefox 78.14.0esr als Sicherheitsupdate. Ferner wird Openssl auf Version 1.1.1l aktualisiert.

Version 3 (2021-09-10 16:10)

Für die Debian Distributionen 10 Buster (oldstable) und 11 Bullseye (stable) stehen Sicherheitsupdates für das Paket 'firefox-esr' in den Versionen 78.14.0esr-1~deb10u1 bzw. 78.14.0esr-1~deb11u1 bereit, um die Schwachstelle CVE-2021-38493 zu adressieren. Für Ubuntu 21.04, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS stehen Sicherheitsupdates für 'firefox' auf Version 92.0 zur Verfügung, welche die Schwachstellen CVE-2021-38493, CVE-2021-38494 und CVE-2021-38491 beheben.

Version 4 (2021-09-10 18:01)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für das Paket 'firefox-esr' in der Version 78.14.0esr-1~deb9u1 bereit, um die Schwachstelle CVE-2021-38493 zu beheben.

Version 5 (2021-09-13 10:01)

Für Fedora 33 und Fedora 34 stehen Sicherheitsupdates auf die Firefox Version 92 im Status 'testing' bzw. 'stable' zur Behebung der referenzierten Schwachstellen bereit. Um das Update wirksam werden zu lassen, ist nach der Installation das Beenden und neu Starten der aktuellen Sitzung erforderlich.

Version 6 (2021-09-14 09:46)

Für Red Hat Enterprise Linux 8 , 8.1 und 8.2 Extended Update Support (x86_64, aarch64), Linux Server 8.2 und 8.4 jeweils in den Editionen AUS und TUS (x86_64) sowie für Red Hat Enterprise Linux Server, Workstation und Desktop 7 (x86_64) stehen Sicherheitsupdates zur Behebung der Schwachstelle CVE-2021-38493 bereit. Für Oracle 7 (x86_64, aarch64) und 8 (x86_64, aarch64) stehen die entsprechenden Sicherheitsupdates zur Verfügung.

Version 7 (2021-09-23 12:54)

Für SUSE OpenStack Cloud 8, 9, Crowbar 8 und 9, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP3 und 12 SP4 sowie SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 91.1.0 ESR bereit, womit die hier referenzierten und mit der Vorgängerversion behobene Schwachstellen adressiert werden.

Version 8 (2021-10-01 12:40)

Das Tor Projekt veröffentlicht den Tor Browser in Version 10.5.7 für Android, womit die GeckoView-Komponente von Firefox auf Version 92.0 gebracht wird. Ferner wird Openssl auf Version 1.1.1l aktualisiert.

Version 9 (2021-10-04 09:25)

Für SUSE Linux Enterprise Server 11 SP4 LTSS und SUSE Linux Enterprise Debuginfo 11 SP4 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 91.1.0 ESR bereit, womit zusätzlich mit der Vorgängerversion behobene Schwachstellen adressiert werden.

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen, falsche Informationen darzustellen, Sicherheitsvorkehrungen zu umgehen und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 92, Friefox ESR 91.1 und Firefox ESR 78.14 als Sicherheitsupdates bereit. Die Schwachstelle CVE-2021-29993 betrifft nur Firefox für Android und die Schwachstelle CVE-2021-38492 betrifft nur Firefox auf Windows-Systemen.

Schwachstellen:

CVE-2021-29993

Schwachstelle in Mozilla Firefox ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-38491

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-38492

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-38493

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-38494

Schwachstelle in Mozilla Firefox ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-38495

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.