2022-0045: Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2022-01-12 09:49)
- Neues Advisory
- Version 2 (2022-01-13 08:47)
- Für Oracle Linux 7 (x86_64) und Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'firefox' auf Firefox ESR 91.5.0 bereit, um die betreffenden Schwachstellen zu beheben.
- Version 3 (2022-01-13 13:45)
- Für Red Hat Enterprise Linux 7 (Server, Workstation, Desktop) (x86_64), Red Hat Enterprise Linux 8, 8.2 Extended Update Support und 8.4 Extended Update Support (aarch64, x86_64) sowie Red Hat Enterprise Linux Server - AUS / TUS 8.2 und 8.4 (x86_64) stehen Sicherheitsupdates für 'firefox' auf Firefox ESR 91.5.0 bereit, um die betreffenden Schwachstellen zu beheben.
- Version 4 (2022-01-14 09:05)
- Canonical stellt für Ubuntu 21.10, Ubuntu 21.04, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'firefox' auf Firefox 96.0 bereit, um die betreffenden Schwachstellen zu beheben. Für Fedora 34 und 35 stehen Sicherheitsupdates in Form der Pakete 'firefox-96.0-1.fc34' im Status 'testing' und 'firefox-96.0-1.fc35' im Status 'stable' auf dieselbe Version bereit. Nach Installation der Updates muss die aktive Benutzersitzung beendet und neu angemeldet werden.
- Version 5 (2022-01-14 18:07)
- Für Debian 10 Buster (oldstable) steht Version 91.5.0esr-1~deb10u1 und für Debian 11 Bullseye (stable) steht Version 91.5.0esr-1~deb11u1 von 'firefox-esr' bereit, um die betreffenden Schwachstellen zu schließen. Das Sicherheitsupdate für Debian 10 Buster (oldstable) ist derzeit noch nicht für alle unterstützten Architekturen verfügbar, insbesondere noch nicht für i386 (32 Bits x86).
- Version 6 (2022-01-17 08:13)
- Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'firefox-esr' in Version 91.5.0esr-1~deb9u1 bereit.
- Version 7 (2022-01-19 09:08)
- Für SUSE OpenStack Cloud 8, 9, Crowbar 8 und 9, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP3 und 12 SP4 sowie SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5 stehen Sicherheitsupdates für 'MozillaFirefox' bereit, um 14 Schwachstellen zu beheben.
- Version 8 (2022-01-20 17:24)
- Für openSUSE Leap 15.3 steht ein Sicherheitsupdate für 'MozillaFirefox' bereit, um 14 Schwachstellen zu beheben.
- Version 9 (2022-01-20 18:06)
- Für SUSE CaaS Platform 4.0, SUSE Enterprise Storage 6 und 7, SUSE Linux Enterprise High Performance Computing 15, 15 SP1 und 15 SP2 ESPOS und LTSS, SUSE Linux Enterprise Module for Desktop Applications 15 SP3, SUSE Linux Enterprise Server 15 LTSS sowie SP1 und SP2 BCL und LTSS, SUSE Linux Enterprise Server for SAP 15, 15 SP1 und 15 SP2, SUSE Manager Proxy 4.1 und SUSE Manager Server 4.1 stehen Sicherheitsupdates für 'MozillaFirefox' auf Basis von Version 91.5.0 ESR bereit.
- Version 10 (2022-01-26 09:24)
- Für SUSE Linux Enterprise Server 11 SP4 LTSS und SUSE Linux Enterprise Debuginfo 11 SP4 stehen Sicherheitsupdates für 'MozillaFirefox' auf Basis von Version 91.5.0 ESR bereit.
- Version 11 (2022-02-01 10:09)
- Für Fedora 34 steht erneut ein Sicherheitsupdate in Form des Pakets 'firefox-96.0.3-1.fc34' im Status 'testing' bereit, welches das Update FEDORA-2022-98f862bf34 (Fedora 34, firefox-96.0-1.fc34) ersetzt, das in den Status 'obsolete' überführt wurde (Referenz hier entfernt).
Betroffene Software
Office
Sicherheit
Betroffene Plattformen
Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe und möglicherweise weitere Angriffe durchzuführen sowie falsche Informationen darzustellen (Spoofing). Mehrere weitere Schwachstellen können lokal ausgenutzt werden, um Privilegien zu eskalieren sowie ebenfalls Denial-of-Service (DoS)- und möglicherweise weitere Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers.
Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 96 und Firefox ESR 91.5.0 als Sicherheitsupdates bereit. Die Schwachstelle CVE-2022-22749 betrifft nur Firefox für Android und die Schwachstellen CVE-2022-22736, CVE-2022-22744 und CVE-2022-22746 betreffen nur Firefox auf Windows-Systemen. Die Schwachstelle CVE-2022-22750 betrifft Windows und macOS.
Das Tor-Projekt veröffentlicht den Tor Browser in Version 11.0.4 auf Basis von Firefox 91.5.0esr als Sicherheitsupdate. Hiermit werden außerdem NoScript auf Version 11.2.14 aktualisiert und weitere Fehler behoben.
Schwachstellen:
CVE-2021-4140
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2022-22736
Schwachstelle in Mozilla Firefox ermöglicht PrivilegieneskalationCVE-2022-22737
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-22738
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-22739
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2022-22740
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-22741
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher InformationenCVE-2022-22742
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-22743
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher InformationenCVE-2022-22744
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-22745
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2022-22746
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher InformationenCVE-2022-22747
Schwachstelle in Mozilla Firefox, Firefox ESR, Network Security Services (NSS) und Thunderbird ermöglicht Denial-of-Service-AngriffCVE-2022-22748
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher InformationenCVE-2022-22749
Schwachstelle in Mozilla Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2022-22750
Schwachstelle in Mozilla Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2022-22751
Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen ProgrammcodesCVE-2022-22752
Schwachstellen in Mozilla Firefox ermöglichen Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.