2021-2548: Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-12-08 10:28)
- Neues Advisory
- Version 2 (2021-12-09 08:26)
- Für Red Hat Enterprise Linux 7 (Server, Workstation, Desktop), Red Hat Enterprise Linux 8, 8.2 Extended Update Support (inklusive Server - AUS / TUS 8.2 x86_64) und 8.4 Extended Update Support (inklusive Server - AUS / TUS 8.4 x86_64) sowie für Oracle Linux 7 und 8 stehen Sicherheitsupdates für Firefox auf Version 91.4.0 ESR bereit, um die betreffenden Schwachstellen zu beheben. Für Fedora 34 und 35 stehen Sicherheitsupdates in Form der Pakete 'firefox-95.0-1.fc34' im Status 'testing' und 'firefox-95.0-1.fc35' im Status 'stable' zur Verfügung, womit auf das Firefox Release 95.0 aktualisiert wird.
- Version 3 (2021-12-09 14:53)
- Das Tor-Projekt veröffentlicht den Tor Browser in Version 11.0.2 auf Basis von Firefox 91.4.0esr als Sicherheitsupdate.
- Version 4 (2021-12-10 08:35)
- Canonical stellt für Ubuntu 21.10, Ubuntu 21.04, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates auf die Firefox ESR Version 95 zur Verfügung.
- Version 5 (2021-12-13 09:26)
- Für SUSE OpenStack Cloud 8, 9, Crowbar 8 und 9, SUSE Linux Enterprise Debuginfo 11 SP4, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP3, 12 SP4, 15 und 15 SP1, SUSE Linux Enterprise Server 11 SP4 LTSS, 12 SP2 BCL, 12 SP3 BCL / LTSS, 12 SP4 LTSS, 12 SP5, 15 LTSS und 15 SP1 BCL / LTSS, SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS, SUSE Linux Enterprise Module for Desktop Applications 15 SP2 und 15 SP3, SUSE Enterprise Storage 6 sowie SUSE CaaS Platform 4.0 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Extended Support Release 91.4.0 bereit, um die betreffenden Schwachstellen zu beheben.
- Version 6 (2021-12-17 11:18)
- Für openSUSE Leap 15.2 und 15.3 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Extended Support Release 91.4.0 bereit, um die betreffenden Schwachstellen zu beheben.
- Version 7 (2021-12-20 09:33)
- Für Debian 10 Buster (oldstable) steht in Kürze Version 91.4.1esr-1~deb10u1 und für Debian 11 Bullseye (stable) Version 91.4.1esr-1~deb11u1 von Firefox ESR als Sicherheitsupdate zur Verfügung. Debian adressiert mit der Umstellung von Firefox ESR 78.x auf 91.x, aufgrund der Beendigung des Supports für den Versionszweig 78.x, eine Reihe weiterer Schwachstellen.
- Version 8 (2021-12-21 08:10)
- Mit USN-5186-1 zur Behebung der Schwachstellen in Firefox wurden mehrere kleinere Regressionen eingeführt. Canonical stellt für Ubuntu 21.10, Ubuntu 21.04, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS neue Sicherheitsupdates bereit, um diese Probleme zu adressieren.
- Version 9 (2021-12-29 17:04)
- Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'firefox-esr' in Version 91.4.1esr-1~deb9u1 bereit. Debian adressiert mit der Umstellung von Firefox ESR 78.x auf 91.x, aufgrund der Beendigung des Supports für den Versionszweig 78.x, eine Reihe weiterer Schwachstellen.
Betroffene Software
Office
Sicherheit
Betroffene Plattformen
Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-sowie einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.
Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 95 und Firefox ESR 91.4 als Sicherheitsupdates bereit. Die Schwachstelle MOZ-2021-0010 betrifft hierbei nur macOS, die Schwachstelle CVE-2021-43544 nur Google Android.
Schwachstellen:
CVE-2021-4128
Schwachstelle in Mozilla Firefox für macOS ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-4129
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher InformationenCVE-2021-43536
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2021-43537
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-43538
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher InformationenCVE-2021-43539
Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-43540
Schwachstelle in Mozilla Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-43541
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-43542
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2021-43543
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-43544
Schwachstelle in Mozilla Firefox für Android ermöglicht Cross-Site-Scripting-AngriffCVE-2021-43545
Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Denial-of-Service-AngriffCVE-2021-43546
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.