2023-1040: Mozilla Firefox, Mozilla Firefox ESR: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-05-09 18:43)

Neues Advisory

Version 2 (2023-05-11 09:21)

Für Debian 11 Bullseye (stable) steht ein Sicherheitsupdate für 'firefox-esr' in Version 102.11.0esr-1~deb11u1 bereit, um die betreffenden Schwachstellen zu beheben. Für Fedora 36, 37 und 38 stehen Sicherheitsupdates in Form von Pakete 'firefox-113.0-1'-Paketen und des Pakets 'firefox-stable-3820230510081153.1' im Status 'testing' bereit, um die Schwachstellen zu beheben. Das Fedora Security Update FEDORA-2023-2a5256e2a3 (Fedora 38, firefox-113.0-1.fc38) ist bereits im Status 'stable'.

Version 3 (2023-05-11 13:39)

Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für 'firefox-esr' in Version 102.11.0esr-1~deb10u1 bereit, um die betreffenden Schwachstellen zu beheben.

Version 4 (2023-05-11 18:06)

Für Desktop Applications Module 15 SP4, SUSE CaaS Platform 4.0, openSUSE Leap 15.4, SUSE Enterprise Storage 7 und 7.1, SUSE Linux Enterprise Desktop 15 SP4, SUSE Linux Enterprise High Performance Computing 12 SP2, 12 SP4, 12 SP5, 15 SP1, 15 SP1 LTSS, 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 ESPOS / LTSS und 15 SP4, SUSE Linux Enterprise Real Time 15 SP3 und 15 SP4, SUSE Linux Enterprise Server 12 SP2, 12 SP2 BCL, 12 SP4, 12 SP4 ESPOS / LTSS, 12 SP5, 15 SP1, 15 SP1 LTSS, 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 LTSS und 15 SP4, SUSE Linux Enterprise Server for SAP Applications 12 SP4, 12 SP5, 15 SP1, 15 SP2, 15 SP3 und 15 SP4, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3, SUSE Manager Server 4.3 sowie SUSE OpenStack Cloud 9 und SUSE OpenStack Cloud Crowbar 9 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Extended Support Release 102.11.0 ESR bereit, um die betreffenden Schwachstellen zu beheben.

Version 5 (2023-05-15 10:54)

Canonical stellt für Ubuntu 20.04 LTS und Ubuntu 18.04 ESM Sicherheitsupdates für 'firefox' bereit, um die betreffenden Schwachstellen zu beheben.

Version 6 (2023-05-16 09:20)

Für Fedora 36 und 38 stehen neue Sicherheitsupdates in Form der Pakete 'firefox-113.0.1-1.fc36' bzw. 'firefox-stable-3820230515105518.1' im Status 'testing' bereit, welche die früheren Updates FEDORA-2023-eee3f84a0f (Fedora 36, firefox-113.0-1.fc36) und FEDORA-FLATPAK-2023-7e5aea7865 (Fedora 38, firefox-stable-3820230510081153.1) ersetzen, die in den Status 'obsolete' überführt wurden (Referenzen hier entfernt).

Version 7 (2023-05-16 10:18)

Canonical informiert darüber, dass mit USN-6074-1 zur Behebung der Schwachstellen in Firefox mehrere, kleinere Regressionen eingeführt wurden, die nun behoben werden.

Version 8 (2023-05-17 11:49)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.4, 8.6, 9.0 und 9.2 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS / TUS 8.2, 8.4 und 8.6 (x86_64), Red Hat Enterprise Linux Server - AUS 9.2 (x86_64) sowie Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.0 und 9.2 (aarch64) stehen Sicherheitsupdates für 'firefox' auf Version 102.11.0 ESR bereit, um die Schwachstellen zu beheben.

Version 9 (2023-05-17 12:44)

Für Red Hat Enterprise Linux 7 (Server, Workstation, Desktop) stehen Sicherheitsupdates für 'firefox' auf Version 102.11.0 ESR zur Behebung der betreffenden Schwachstellen zur Verfügung.

Version 10 (2023-05-19 12:29)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 8 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.8 (x86_64, aarch64) und Red Hat Enterprise Linux Server - AUS / TUS 8.8 (x86_64) stehen Sicherheitsupdates für 'firefox' auf Version 102.11.0 ESR bereit, um die betreffenden Schwachstellen zu beben. Und für Oracle Linux 7 (aarch64, x86_64) stehen zu RHSA-2023:3137 korrespondierende Sicherheitsupdates für 'firefox' auf Version 102.11.0 ESR zur Behebung der betreffenden Schwachstellen zur Verfügung.

Version 11 (2023-05-19 15:01)

Für Oracle Linux 9 (aarch64, x86_64) stehen zu RHSA-2023:3143 korrespondierende Sicherheitsupdates für 'firefox' auf Version 102.11.0 ESR zur Behebung der betreffenden Schwachstellen zur Verfügung.

Version 12 (2023-05-24 17:16)

Canonical informiert darüber, dass mit USN-6074-2 zur Behebung mehrerer kleinerer Regressionen erneut kleinere Regressionen eingeführt wurden, die nun behoben werden.

Version 13 (2023-06-08 16:17)

Für Oracle Linux 8 (aarch64, x86_64) steht ein Sicherheitsupdate für 'firefox' auf Version 102.11.0 ESR zur Behebung der betreffenden Schwachstellen zur Verfügung.

Betroffene Software

Office

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Clickjacking-Angriff sowie verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen und falsche Informationen darzustellen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers.

Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 113 sowie Firefox ESR 102.11 als Sicherheitsupdates bereit.

Schwachstellen:

CVE-2023-32205

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2023-32206

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2023-32207

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Clickjacking-Angriff

CVE-2023-32208

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2023-32209

Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff

CVE-2023-32210

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-32211

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2023-32212

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2023-32213

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-32214

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2023-32215

Schwachstellen in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

CVE-2023-32216

Schwachstellen in Mozilla Firefox ermöglichen Ausführen beliebigen Programmcodes

MFSA-TMP-2023-0002

Schwachstelle in Mozilla Firefox ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.