2021-2075: Mozilla Firefox, Mozilla Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-10-05 18:54): Neues Advisory
Version 2 (2021-10-07 11:33): Das Tor Projekt veröffentlicht den Tor Browser in Version 10.5.8 auf Basis von Firefox 78.15.0esr als Sicherheitsupdate.
Version 3 (2021-10-07 14:06): Canonical stellt für Ubuntu 21.04, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'firefox' auf Version 93.0 bereit, um die Schwachstellen zu beheben.
Version 4 (2021-10-08 09:45): Für Debian 10 Buster (oldstable) steht die Version 78.15.0esr-1~deb10u1 und für Debian 11 Bullseye (stable) die Version 78.15.0esr-1~deb11u1 von 'firefox-esr' als Sicherheitsupdate zur Verfügung, um die Schwachstellen CVE-2021-38496 und CVE-2021-38500 zu beheben. Für Fedora 33 und 34 stehen Sicherheitsupdates in Form der Pakete 'firefox-93.0-1.fc33' und 'firefox-93.0-1.fc34' im Status 'testing' bereit, womit Firefox auf Version 93.0 aktualisiert wird und die betreffenden Schwachstellen behoben werden.
Version 5 (2021-10-11 10:27): Für Fedora 33 steht ein neues Sicherheitsupdate in Form des Pakets 'firefox-93.0-2.fc33' im Status 'testing' bereit, welches das Update FEDORA-2021-59fbf5cefb (Fedora 33, firefox-93.0-1.fc33) ersetzt, das in den Status 'obsolete' versetzt wurde (Referenz hier entfernt).
Version 6 (2021-10-12 09:44): Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate bereit, mit dem Firefox ESR auf Version 78.15.0esr-1~deb9u1 aktualisiert wird. SUSE stellt für die Distribution openSUSE Leap 15.3, für SUSE Linux Enterprise Server for SAP 15 und 15 SP1, SUSE Linux Enterprise Server 15 LTSS und 15 SP1 BCL / LTSS, SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS sowie für SUSE Enterprise Storage 6 und SUSE CaaS Platform 4.0 Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 91.2.0 ESR bereit, womit zusätzlich Schwachstellen adressiert werden, die mit Vorgängerreleases behoben wurden.
Version 7 (2021-10-12 12:11): Für Oracle Linux 8 steht ein Sicherheitsupdate für 'firefox' auf das Firefox Release 91.2.0 ESR bereit.
Version 8 (2021-10-13 10:49): Für Red Hat Enterprise Linux 8 sowie Red Hat Enterprise Linux 8.1 und 8.2 Extended Update Support stehen Sicherheitsupdates für Firefox ESR auf Version 91.2.0 bereit.
Version 9 (2021-10-14 13:14): Für Red Hat Enterprise Linux 7 (Server, Workstation und Desktop) steht ein Sicherheitsupdate für 'firefox' auf Version 91.2.0 ESR bereit, um die Schwachstellen zu beheben.
Version 10 (2021-10-15 16:17): Für SUSE OpenStack Cloud 8, 9, Crowbar 8 und 9, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP3 und 12 SP4 sowie für SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 91.2.0 ESR bereit, um die betreffenden Schwachstellen zu beheben.
Version 11 (2021-10-18 09:48): SUSE stellt für die Distribution openSUSE Leap 15.3 sowie für SUSE Linux Enterprise Module for Desktop Applications 15 SP2 und 15 SP3 Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 91.2.0 ESR bereit, womit zusätzlich Schwachstellen adressiert werden, die mit Vorgängerreleases behoben wurden.
Version 12 (2021-10-18 17:54): Für SUSE Linux Enterprise Server 11 SP4 LTSS und SUSE Linux Enterprise Debuginfo 11 SP4 werden die hier referenzierten und einige ältere Schwachstellen ebenfalls mit einem Update auf Firefox 91.2.0 ESR adressiert. Gleichzeitig wird 'rust-cbindgen' auf Version 0.19.0 aktualisiert.
Version 13 (2021-10-19 11:02): Für openSUSE Leap 15.2 steht ein Sicherheitsupdate auf Firefox 91.2.0 ESR bereit. Auch dieses Update behebt neben den hier referenzierten Schwachstellen weitere Schwachstellen aus den Vorversionen.
Version 14 (2021-10-22 16:18): Für Oracle Linux 7 steht ein Sicherheitsupdate bereit, mit dem 'firefox' auf Version 91.2.0 ESR aktualisiert wird.
Version 15 (2021-11-24 10:30): Für Fedora 34 und 35 sowie Fedora EPEL 7 und 8 stehen Sicherheitsupdates im Status 'testing' bereit, mit denen SeaMonkey auf Version 2.53.10 aktualisiert wird. Diese Version basiert auf dem Sicherheitsniveau von Firefox 60.8 ESR mit zusätzlichen Backports aus Firefox 78.15 ESR.
Version 16 (2021-11-30 09:11): Für Fedora 34 und 35 sowie Fedora EPEL 7 und 8 stehen neue Sicherheitsupdates für SeaMonkey im Status 'testing' bereit. Die bisherigen Sicherheitsupdates wurden aufgrund von Problemen mit der Installation in den Status 'unpushed' oder 'obsolete' versetzt (Referenzen hier entfernt).

Betroffene Software

Office
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, falsche Informationen darzustellen und Denial-of-Service (DoS)-Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die erfolgreiche Ausnutzung der Schwachstellen erfordert die Interaktion eines Benutzers.

Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 93, Friefox ESR 91.2 und Firefox ESR 78.15 als Sicherheitsupdates bereit. Firefox ESR 78 ist nur von CVE-2021-38496 und CVE-2021-38500 betroffen, CVE-2021-38499 betrifft nur Firefox 92.

Schwachstellen:

CVE-2021-32810

Schwachstelle in crossbeam-deque ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2021-38496

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-38497

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2021-38498

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-38499

Schwachstellen in Mozilla Firefox ermöglichen Ausführen beliebigen Programmcodes

CVE-2021-38500

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

CVE-2021-38501