2023-1761: Mozilla Firefox, Mozilla Firefox ESR: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-08-02 16:39): Neues Advisory
Version 2 (2023-08-02 19:29): SUSE stellt für SUSE CaaS Platform 4.0, Desktop Applications Module 15 SP4 und 15 SP5, openSUSE Leap 15.4 und 15.5, SUSE Enterprise Storage 7.1, die SUSE Linux Enterprise Produkte Desktop 15 SP4 und 15 SP5, High Performance Computing 12 SP2, 12 SP5, 15 SP1, 15 SP1 LTSS, 15 SP2, 15 SP2 LTSS , 15 SP3, 15 SP3 ESPOS, 15 SP3 LTSS, 15 SP4 und 15 SP5, Real Time 15 SP4 und 15 SP5, Server 12 SP2, 12 SP2 BCL, 12 SP5, 15 SP1, 15 SP1 LTSS, 15 SP2, 15 SP2 LTSS , 15 SP3, 15 SP3 LTSS, 15 SP4 und 15 SP5, Server for SAP Applications 12 SP5, 15 SP1, 15 SP2, 15 SP3, 15 SP4 und 15 SP5, Software Development Kit 12 SP5 sowie SUSE Manager Proxy, Retail Branch Server und Server jeweils in Version 4.3 Sicherheitsupdates auf die Firefox ESR Version 115.1.0 bereit, um die entsprechenden Schwachstellen zu beheben.
Version 3 (2023-08-04 12:11): Für Debian 11 Bullseye (oldstable) und Debian 12 Bookworm (stable) stehen Sicherheitsupdates für 'firefox-esr' in den Versionen 102.14.0esr-1~deb11u1 bzw. 102.14.0esr-1~deb12u1 bereit.
Version 4 (2023-08-04 12:25): Für Red Hat Enterprise Linux 7, Red Hat Enterprise Linux 8, Red Hat Enterprise Linux 8.2 Advanced Update Support, Red Hat Enterprise Linux 8.2 Telecommunications Update Service, Red Hat Enterprise Linux 8.4 Advanced Mission Critical Update Support, Red Hat Enterprise Linux 8.4 Telecommunications Update Service, Red Hat Enterprise Linux 8.6 Extended Update Support, Red Hat Enterprise Linux 9 und Red Hat Enterprise Linux 9.0 Extended Update Support stehen Sicherheitsupdates bereit, mit denen Firefox auf Version 102.14.0 ESR aktualisiert wird.
Version 5 (2023-08-07 09:37): Für Oracle Linux 7 (aarch64, x86_64), 8 (aarch64, x86_64) und 9 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates bereit, mit denen Firefox auf Version 102.14.0 ESR aktualisiert wird.
Version 6 (2023-08-08 12:02): Für Ubuntu 20.04 LTS steht ein aktualisiertes Sicherheitsupdate für 'firefox' bereit, da sich durch USN-6267-1 mehrere kleinere Regressionen ergeben haben.
Version 7 (2023-08-10 09:10): Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für 'firefox-esr' in Version 102.14.0esr-1~deb10u1 bereit, um die betreffenden Schwachstellen zu beheben.
Version 8 (2023-08-21 09:43): Infolge USN-6267-1 zur Behebung der Schwachstellen und USN-6267-2 zur Behebung kleinerer Regressionen wurde zahlreiche weitere, kleine Regressionen in Firefox eingeführt, welche nun mit einem weiteren Update für Ubuntu 20.04 LTS behoben werden sollen.

Betroffene Software

Office

Betroffene Plattformen

Cloud
Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Eine weitere Schwachstelle kann lokal ausgenutzt werden, um Dateien zu manipulieren.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2023-4054 kann Einfluss auf andere Komponenten haben.

Die Schwachstellen CVE-2023-4052 und CVE-2023-4054 betreffen nur Firefox für Windows.

Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 116 sowie Firefox ESR 102.14 und 115.1 als Sicherheitsupdates bereit.

Für Fedora 37 steht das Paket 'firefox-116.0-2.fc37' im Status 'testing' und für Fedora 38 die Pakete 'firefox-116.0-2.fc38' und 'firefox-stable-3820230731114404.1' im Status 'stable' zur Behebung der Schwachstellen zur Verfügung. Canonical stellt ein Sicherheitsupdate für Ubuntu 20.04 LTS bereit. Die betroffene Software wird damit jeweils auf Version 116.0 aktualisiert.

Schwachstellen:

CVE-2023-4045

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-4046

Schwachstelle in Mozilla Firefox, Firefox ESR, SpiderMonkey (mozjs) und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-4047

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Privilegieneskalation

CVE-2023-4048

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-4049

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-4050

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-4051

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2023-4052

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Manipulation von Dateien

CVE-2023-4053

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2023-4054

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-4055

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2023-4056

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

CVE-2023-4057