2023-0804: Mozilla Firefox, Mozilla Firefox ESR: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2023-04-12 15:55)
- Neues Advisory
- Version 2 (2023-04-13 11:09)
- Für Debian 10 Buster (LTS) und Debian 11 Bullseye (stable) stehen Sicherheitsupdates für 'firefox-esr' auf Basis von Firefox ESR 102.10.0 zur Verfügung.
- Version 3 (2023-04-17 12:58)
- Für Desktop Applications Module 15 SP4, openSUSE Leap 15.4, SUSE Enterprise Storage 7 und 7.1, SUSE Linux Enterprise Desktop 15 SP4, SUSE Linux Enterprise High Performance Computing 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 ESPOS / LTSS und 15 SP4, SUSE Linux Enterprise Real Time 15 SP3 und 15 SP4, SUSE Linux Enterprise Server 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 LTSS und 15 SP4, SUSE Linux Enterprise Server for SAP Applications 15 SP2, 15 SP3 und 15 SP4, SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3 sowie SUSE Manager Server 4.3 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 102.10.0 ESR bereit, um zwölf der referenzierten Schwachstellen zu beheben.
- Version 4 (2023-04-17 16:26)
- Canonical stellt für Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'firefox' auf Version 112.0 bereit, um die betreffenden Schwachstellen zu beheben.
- Version 5 (2023-04-17 16:59)
- Red Hat stellt für Red Hat Enterprise Linux (RHEL) 7, 8 und 9, für RHEL 8.2 Advanced Update Support (AUS) und 8.2 Telecommunications Update Service (TUS) sowie für RHEL 8.4, 8.6 und 9.0 Extended Update Support (EUS) Sicherheitsupdates bereit, mit denen 'firefox' auf Version 102.10.0 ESR aktualisiert wird.
- Version 6 (2023-04-17 18:32)
- Für Oracle Linux 8 (aarch64, x86_64) und Oracle Linux 9 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates bereit, mit denen 'firefox' auf Version 102.10.0 ESR aktualisiert wird.
- Version 7 (2023-04-18 10:38)
- Mit dem Sicherheitsupdate USN-6010-1 für Firefox wurden zahlreiche, kleinere Regressionen eingeführt, die hiermit behoben werden.
- Version 8 (2023-04-19 10:58)
- Für Oracle Linux 7 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates bereit, mit denen 'firefox' auf Version 102.10.0 ESR aktualisiert wird.
- Version 9 (2023-04-20 10:41)
- Für Fedora 38 steht ein Sicherheitsupdate für 'firefox' auf Version 112.0.1 im Status 'testing' zur Verfügung, womit zusätzlich zu den mit Version 112 behobenen Schwachstellen ein Fehler adressiert wird, der zum unbeabsichtigten Säubern von Cookies führen konnte.
- Version 10 (2023-04-26 14:13)
- Mit dem Sicherheitsupdate USN-6010-2 für Firefox wurden kleinere Regressionen behoben, jedoch zahlreiche weitere, kleine Regressionen eingeführt, die hiermit für Ubuntu 20.04 LTS und Ubuntu 18.04 LTS behoben werden.
Betroffene Software
Office
Betroffene Plattformen
Netzwerk
Cloud
Apple
Google
Linux
Microsoft
Oracle
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen, falsche Informationen darzustellen und weitere, nicht spezifizierte Angriffe durchzuführen. Darüber hinaus kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen weiteren Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.
Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 112 sowie Firefox ESR 102.10 als Sicherheitsupdates bereit.
Für Fedora 36 und 37 stehen Sicherheitsupdates für 'firefox' auf Version 112 im Status 'pending' zur Verfügung.
SUSE behebt 12 der Schwachstellen im Paket 'MozillaFirefox' für SUSE CaaS Platform 4.0, SUSE Linux Enterprise High Performance Computing 12 SP2, 12 SP4, 12 SP5, 15 SP1 und 15 SP1 LTSS, SUSE Linux Enterprise Server 12 SP2, 12 SP2 BCL, 12 SP4, 12 SP4 ESPOS, 12 SP4 LTSS, 12 SP5, 15 SP1 und 15 SP1 LTSS, SUSE Linux Enterprise Server for SAP Applications 12 SP4, 12 SP5 und 15 SP1, SUSE Linux Enterprise Software Development Kit 12 SP5 sowie SUSE OpenStack Cloud 9 und SUSE OpenStack Cloud Crowbar 9. Die betroffene Software wird damit auf Version 102.10.0 ESR aktualisiert.
Schwachstellen:
CVE-2023-1945
Schwachstelle in Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2023-1999
Schwachstelle in libwebp ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-29531
Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-AngriffCVE-2023-29532
Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2023-29533
Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Darstellen falscher InformationenCVE-2023-29534
Schwachstelle in Mozilla Firefox ermöglicht Darstellen falscher InformationenCVE-2023-29535
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-29536
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-29537
Schwachstelle in Mozilla Firefox ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-29538
Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von InformationenCVE-2023-29539
Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Reflected-File-Download-AngriffCVE-2023-29540
Schwachstelle in Mozilla Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2023-29541
Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-29542
Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Umgehen von SicherheitsvorkehrungenCVE-2023-29543
Schwachstelle in Mozilla Firefox ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-29544
Schwachstelle in Mozilla Firefox ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-29545
Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Manipulation von DateienCVE-2023-29546
Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von InformationenCVE-2023-29547
Schwachstelle in Mozilla Firefox ermöglicht nicht spezifizierte AngriffeCVE-2023-29548
Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Denial-of-Service-AngriffCVE-2023-29549
Schwachstelle in Mozilla Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2023-29550
Schwachstellen in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen ProgrammcodesCVE-2023-29551
Schwachstellen in Mozilla Firefox ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.