2022-0516: Mozilla Firefox, Mozilla Firefox ESR: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-03-08 17:20)

Neues Advisory

Version 2 (2022-03-09 08:54)

Für Fedora 34 und 35 stehen Sicherheitsupdates in Form von 'firefox-98.0-2'-Paketen im Status 'testing' bereit, womit Firefox auf das aktuelle Upstream-Release gehoben wird.

Version 3 (2022-03-10 11:48)

Für Debian 9 Stretch (LTS) steht Version 91.7.0esr-1~deb9u1, für Debian 10 Buster (oldstable) steht Version 91.7.0esr-1~deb10u1 und für Debian 11 Bullseye (stable) steht Version 91.7.0esr-1~deb11u1 von 'firefox-esr' als Sicherheitsupdates zur Verfügung.

Version 4 (2022-03-11 08:00)

Canonical stellt für Ubuntu 21.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'firefox' bereit, um die entsprechenden Schwachstellen zu beheben. Hiermit erfolgt eine Aktualisierung auf das Firefox 98 Release.

Version 5 (2022-03-14 08:29)

Für SUSE Linux Enterprise Debuginfo 11 SP4 und SUSE Linux Enterprise Server 11 SP4 LTSS stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 91.7.0 ESR bereit. Hiermit werden auch die beiden kritischen mit Firefox Extended Support Release 91.6.1 ESR behobenen Schwachstellen adressiert.

Version 6 (2022-03-14 18:03)

Für SUSE CaaS Platform 4.0, SUSE Enterprise Storage 6, SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS, SUSE Linux Enterprise Server 15 LTSS und 15 SP1 BCL / LTSS sowie SUSE Linux Enterprise Server for SAP 15 und 15 SP1 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 91.7.0 ESR bereit.

Version 7 (2022-03-15 08:40)

Für die Distributionen openSUSE Leap 15.3 und 15.4 sowie für SUSE Enterprise Storage 7, SUSE Linux Enterprise Desktop 15 SP3 und 15 SP4, SUSE Linux Enterprise High Performance Computing 15 SP2 ESPOS / LTSS, 15 SP3 und 15 SP4, SUSE Linux Enterprise Realtime Extension 15 SP2, SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL / LTSS, 12 SP4 LTSS, 12 SP5, 15 SP2 BCL / LTSS, 15 SP3 und 15 SP4, SUSE Linux Enterprise Server for SAP 12 SP3, 12 SP4 und 15 SP2, SUSE Linux Enterprise Server for SAP Applications 12 SP5, 15 SP3 und 15 SP4, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Manager Proxy 4.1 und 4.2, SUSE Manager Retail Branch Server 4.1, SUSE Manager Server 4.1 und 4.2, SUSE OpenStack Cloud 8 und 9, SUSE OpenStack Cloud Crowbar 8 und 9 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 91.7.0 ESR bereit.

Version 8 (2022-03-17 15:45)

Bei USN-5321-1 zur Behebung der Schwachstellen in Firefox fehlte aufgrund einer Regression die Unterstützung für ARM-64-Architekturen, was mit einem neuen Update nachgeholt wird. Weiterhin werden damit die optionalen Suchen über Yandex und Mail.ru aus dem Search-Drop-Down-Menü entfernt.

Version 9 (2022-03-25 08:29)

Canonical veröffentlicht ein weiteres Update für Firefox in Ubuntu 21.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS zur Behebung verschiedener Regressionen. Die betroffene Software wird damit auf Version 98.0.2 aktualisiert.

Betroffene Software

Office

Betroffene Plattformen

Netzwerk
Cloud
Apple
Google
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe durchzuführen und falsche Informationen darzustellen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Die Schwachstelle CVE-2022-26386 betrifft nur Firefox auf macOS- und Linux-Systemen.

Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 98 und Firefox ESR 91.7.0 als Sicherheitsupdates bereit.

Schwachstellen:

CVE-2022-0843

Schwachstellen in Mozilla Firefox ermöglichen Ausführen beliebigen Programmcodes

CVE-2022-26381

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-26382

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2022-26383

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2022-26384

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-26385

Schwachstelle in Mozilla Firefox ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-26386

Schwachstelle in Mozilla Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2022-26387

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.