2025-1287: Mozilla Firefox, Mozilla Firefox ESR: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-05-19 15:27): Neues Advisory
Version 2 (2025-05-20 13:17): Für Debian 11 Bullseye (LTS) steht ein Sicherheitsupdate für 'firefox-esr' in Version 128.10.1esr-1~deb11u1 bereit, um sechs Schwachstellen zu beheben.
Version 3 (2025-05-21 09:27): Für Red Hat Enterprise Linux for x86_64 / ARM 64 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.6 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 9.6 (x86_64) und Red Hat Enterprise Linux for ARM 64 - 4 years of updates 9.6 (aarch64) stehen Sicherheitsupdates für 'firefox' bereit, um die beiden Schwachstelle zu beheben.
Version 4 (2025-05-21 16:33): Für Red Hat Enterprise Linux for x86_64 / ARM 64 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'firefox' bereit, um die beiden Schwachstellen zu beheben.
Version 5 (2025-05-22 10:11): Für Oracle Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'firefox' bereit, um die Schwachstellen zu beheben.
Version 6 (2025-05-26 08:25): Für Red Hat Enterprise Linux for x86_64 / ARM 64 in den Versionen 10 (x86_64, aarch64), 4 years of updates 10.0 (x86_64, aarch64) und Extended Update Support 10.0 (x86_64, aarch64) stehen Sicherheitsupdates für 'firefox' bereit, um die betreffenden Schwachstellen zu beheben.
Version 7 (2025-05-26 10:46): Für Oracle Linux 9 (x86_64, aarch64) stehen zu RHSA-2025:8049 korrespondierende Sicherheitsupdates für 'firefox' bereit, um die betreffenden Schwachstellen zu beheben.
Version 8 (2025-05-26 15:41): Für Desktop Applications Module 15 SP6, openSUSE Leap 15.6, SUSE Enterprise Storage 7.1, SUSE Linux Enterprise Desktop 15 SP6, SUSE Linux Enterprise High Performance Computing 15 SP3, 15 SP3 LTSS, 15 SP4, 15 SP4 ESPOS / LTSS, 15 SP5 und 15 SP5 ESPOS / LTSS, SUSE Linux Enterprise Real Time 15 SP6, SUSE Linux Enterprise Server 15 SP3, 15 SP3 LTSS, 15 SP4, 15 SP4 LTSS, 15 SP5, 15 SP5 LTSS und 15 SP6, SUSE Linux Enterprise Server for SAP Applications 15 SP3, 15 SP4, 15 SP5 und 15 SP6 sowie SUSE Package Hub 15 SP6 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 128.10.1 ESR bereit, um die betreffenden Schwachstellen zu beheben.
Version 9 (2025-05-27 09:18): Für die SUSE Linux Enterprise Produkte High Performance Computing 12 SP5, Server 12 SP5 und 12 SP5 LTSS / LTSS Extended Security sowie Server for SAP Applications 12 SP5 stehen Sicherheitsupdates für 'MozillaFirefox' auf das Firefox Extended Support Release 128.10.1 ESR bereit, um die beiden Schwachstellen zu beheben.
Version 10 (2025-06-02 16:26): Für Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.2 und 9.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 9.2 und 9.4 (x86_64) sowie Red Hat Enterprise Linux for ARM 64 - 4 years of updates 9.0, 9.2 und 9.4 (aarch64) stehen Sicherheitsupdates für 'firefox' bereit, um die beiden Schwachstellen zu beheben.
Version 11 (2025-06-04 09:48): Für Red Hat Enterprise Linux Server - Extended Life Cycle Support 7 (x86_64) steht ein Sicherheitsupdate für 'firefox' bereit, um die beiden Schwachstellen zu beheben.
Version 12 (2025-06-10 12:17): Für Oracle Linux 7 (x86_64) steht ein zu RHSA-2025:8465 korrespondierendes Sicherheitsupdate und für Red Hat Enterprise Linux Server in den Versionen AUS 8.2, 8.4 und 8.6 (x86_64) und TUS 8.6 (x86_64) stehen Sicherheitsupdates für 'firefox' bereit, um die beiden Schwachstellen zu beheben.
Version 13 (2025-06-11 10:32): Für Red Hat Enterprise Linux Server - TUS 8.8 (x86_64) steht ein Sicherheitsupdate für 'firefox' bereit, um die beiden Schwachstellen zu beheben.
Version 14 (2025-07-01 12:23): Für Oracle Linux 10 (x86_64, aarch64) stehen zu RHSA-2025:8125 korrespondierende Sicherheitsupdates für 'firefox' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Mozilla informiert über die Schwachstellen in Firefox und Firefox ESR und stellt die Versionen 138.0.4 für Firefox sowie 128.10.1 und 115.23.1 für Firefox ESR bereit, um die Sicherheitslücken zu schließen. Beide Schwachstellen werden vom Hersteller als kritisch ('critical') bewertet.

Für Debian 12 Bookworm (stable) steht ein Sicherheitsupdate für 'firefox-esr' in Version 128.10.1esr-1~deb12u1 bereit, wobei die Schwachstellen CVE-2025-4920 und CVE-2025-4921 referenziert werden. Laut NVD handelt es sich hierbei um Duplikate von CVE-2025-4918 und CVE-2025-4919.

Schwachstellen:

CVE-2025-4918

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR, Thunderbird und Thunderbird ESR ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-4919