2025-2845: Mozilla Firefox, Mozilla Firefox ESR: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-10-15 12:42)

Neues Advisory

Version 2 (2025-10-16 09:36)

Für Debian 12 Bookworm (oldstable) steht Version 140.4.0esr-1~deb12u1 und für Debian 13 Trixie (stable) steht Version 140.4.0esr-1~deb13u1 von 'firefox-esr' bereit, um sieben Schwachstellen zu beheben.

Version 3 (2025-10-16 10:31)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 in den Versionen 9 und 10 (x86_64, aarch64), 4 years of updates 9.6 (aarch64), 10.0 (x86_64, aarch64) und Extended Update Support 9.6 und 10.0 (x86_64, aarch64) sowie Red Hat Enterprise Linux Server in Version AUS 9.6 (x86_64) stehen Sicherheitsupdates für 'firefox' bereit, um sieben Schwachstellen zu beheben.

Version 4 (2025-10-17 09:46)

Für Fedora 41 und 42 stehen neue Sicherheitsupdates in Form von 'firefox-144.0-3'-Paketen im Status 'testing' bereit, welche die vorherigen Updates FEDORA-2025-b7a5f19bd6 (Fedora 41, firefox-144.0-2.fc41) und FEDORA-2025-3fc300c873 (Fedora 42, firefox-144.0-2.fc42) ersetzen, die aufgrund von Abstürzen in den Status 'obsolete' überführt wurden (Referenzen hier entfernt). Für Oracle Linux 9 und 10 (x86_64, aarch64) stehen zu RHSA-2025:18154 und RHSA-2025:18155 korrespondierende Sicherheitsupdates für 'firefox' bereit, um sieben Schwachstellen zu beheben.

Version 5 (2025-10-17 13:57)

Für Debian 11 Bullseye (LTS) steht Version 140.4.0esr-1~deb11u1 von 'firefox-esr' bereit, um sieben Schwachstellen zu beheben.

Betroffene Software

Office

Betroffene Plattformen

Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, beliebigen Programmcode mit den Rechten des angemeldeten Benutzers auszuführen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer kann eine Schwachstelle lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Die Schwachstellen CVE-2025-11713 und CVE-2025-11719 betreffen ausschließlich Windows-Systeme, CVE-2025-11716, CVE-2025-11717, CVE-2025-11718 und CVE-2025-11720 ausschließlich Android-Systeme.

Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 144 sowie Firefox ESR 140.4 und 115.29 als Sicherheitsupdates zur Verfügung.

Für Fedora 41 und 42 steht das Paket 'firefox-144.0-2' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2025-11708

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR, Thunderbird und Thunderbird ESR ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-11709

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR, Thunderbird und Thunderbird ESR ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-11710

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR, Thunderbird und Thunderbird ESR ermöglicht Ausspähen von Informationen

CVE-2025-11711

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR, Thunderbird und Thunderbird ESR ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-11712

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR, Thunderbird und Thunderbird ESR ermöglicht Cross-Site-Scripting-Angriff

CVE-2025-11713

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR, Thunderbird und Thunderbird ESR ermöglicht Ausführen beliebigen Programmcodes mit Benutzerrechten

CVE-2025-11714

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR, Thunderbird und Thunderbird ESR ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-11715

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR, Thunderbird und Thunderbird ESR ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-11716

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-11717

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2025-11718

Schwachstelle in Mozilla Firefox ermöglicht Darstellen falscher Informationen

CVE-2025-11719

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2025-11720

Schwachstelle in Mozilla Firefox ermöglicht Darstellen falscher Informationen

CVE-2025-11721

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.