2025-1087: Mozilla Firefox: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-04-30 17:42)

Neues Advisory

Version 2 (2025-05-02 11:40)

Für Debian 12 Bookworm (stable) steht ein Sicherheitsupdate für 'firefox-esr' in Version 128.10.0esr-1~deb12u1 zur Verfügung. Auch für Fedora 40, 41 und 42 stehen 'firefox-138.0-1'-Pakete bereit, um die betreffenden Schwachstellen zu beheben. Die Pakete für Fedora 41 und 42 sind bereits im Status 'stable, während sich das für Fedora 40 noch im Status 'testing' befindet.

Version 3 (2025-05-05 11:19)

Für Desktop Applications Module 15 SP6, openSUSE Leap 15.6 und SUSE Enterprise Storage 7.1 sowie für die SUSE Linux Enterprise Produkte Desktop 15 SP6, High Performance Computing 15 SP3, 15 SP4, 15 SP5, 15 SP4 ESPOS, 15 SP5 ESPOS, 15 SP3 LTSS, 15 SP4 LTSS und 15 SP5 LTSS, Real Time 15 SP6, Server 15 SP3, 15 SP3 LTSS, 15 SP4, 15 SP4 LTSS, 15 SP5, 15 SP5 LTSS und 15 SP6 und Server for SAP Applications 15 SP3, 15 SP4, 15 SP5 und 15 SP6 stehen Sicherheitsupdates für 'MozillaFirefox' bereit, um sieben Schwachstellen zu beheben. Für Red Hat Enterprise Linux for x86_64 / ARM 64 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'firefox' bereit, um die betreffenden Schwachstellen zu schließen.

Version 4 (2025-05-05 15:54)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'firefox' bereit, um die betreffenden Schwachstellen zu schließen.

Version 5 (2025-05-06 11:12)

Für Oracle Linux 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'firefox' bereit, um die betreffenden Schwachstellen zu schließen.

Version 6 (2025-05-07 11:21)

Oracle veröffentlicht für Oracle Linux 8 (x86_64, aarch64) Sicherheitsupdates für 'firefox' auf die ESR-Version 128.10, um die betreffenden Schwachstellen zu schließen.

Version 7 (2025-05-09 11:28)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 - 4 years of updates 9.0, 9.2 und 9.4 (aarch64) und Extended Update Support 9.2 und 9.4 (x86_64, aarch64) sowie Red Hat Enterprise Linux Server - AUS 9.2 und 9.4 (x86_64) und Extended Life Cycle Support 7 (x86_64) stehen Sicherheitsupdates für 'firefox' bereit, um die betreffenden Schwachstellen zu beheben.

Version 8 (2025-05-14 18:59)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 in den Versionen 9 und 10 (x86_64, aarch64), 4 years of updates 10.0 (x86_64, aarch64), Extended Update Support 8.8 und 10.0 (x86_64, aarch64), Red Hat Enterprise Linux Server in den Versionen AUS 8.2, 8.4 und 8.6 (x86_64) sowie Red Hat Enterprise Linux Server in den Versionen TUS 8.4, 8.6 und 8.8 (x86_64) stehen Sicherheitsupdates für 'firefox' bereit, um die betreffenden Schwachstellen zu beheben.

Betroffene Software

Office

Betroffene Plattformen

Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe durchzuführen und falsche Informationen darzustellen. Ein Angreifer kann eine Schwachstelle lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Die meisten Schwachstellen erfordern zudem die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2025-2817 kann Einfluss auf andere Komponenten haben.

Die Mozilla Foundation informiert über die Schwachstellen, wobei CVE-2025-4084 nur Firefox ESR und CVE-2025-4093 nur Firefox ESR im Versionszweig 128 betrifft. Außerdem betreffen CVE-2025-4086 und CVE-2025-4090 nur Firefox für Android, CVE-2025-4082 nur macOS und CVE-2025-4084 nur Windows-Systeme.

Als Sicherheitsupdates stehen die Firefox Version 138 sowie Firefox ESR 128.10 und 115.23 zur Verfügung.

Für die SUSE Linux Enterprise Produkte High Performance Computing 12 SP5, Server 12 SP5 und 12 SP5 LTSS / LTSS Extended Security und Server for SAP Applications 12 SP5 stehen bereits Sicherheitsupdates für 'MozillaFirefox' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2025-2817

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Privilegieneskalation

CVE-2025-4082

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-4083

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-4084

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-4085

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht u. a. Ausspähen von Informationen

CVE-2025-4086

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2025-4087

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-4088

Schwachstelle in Mozilla Firefox ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2025-4089

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-4090

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2025-4091

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-4092

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-4093

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.