[BSI-CERT] Schwachstellen im Mozilla Firefox

CERT-Bund Meldung
—————–

KURZINFO CB-K18/0450 UPDATE 1
Titel:              Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere
Schwachstellen ermöglichen u.a. die Ausführung
beliebigen Programmcodes
Datum:              15.03.2018
Software:           Mozilla Firefox < 59, Mozilla Firefox ESR < 52.7, Tor
Browser < 7.5.1
Plattform:          Apple macOS, Canonical Ubuntu Linux 14.04 LTS,
Canonical Ubuntu Linux 16.04 LTS, Canonical Ubuntu
Linux 17.10, GNU/Linux, Google Android Operating
System, Microsoft Windows , openSUSE Leap 42.3
Auswirkung:         Ausführen beliebigen Programmcodes
Remoteangriff:      Ja
Risiko:             sehr hoch
CVE Liste:          CVE-2018-5125, CVE-2018-5126, CVE-2018-5127,
CVE-2018-5128, CVE-2018-5129, CVE-2018-5130,
CVE-2018-5131, CVE-2018-5132, CVE-2018-5133,
CVE-2018-5134, CVE-2018-5135, CVE-2018-5136,
CVE-2018-5137, CVE-2018-5138, CVE-2018-5140,
CVE-2018-5141, CVE-2018-5142, CVE-2018-5143,
CVE-2018-5144, CVE-2018-5145
Bezug:              https://www.mozilla.org/en-US/security/advisories/mfsa2018-06/

REVISIONS HISTORIE
Version: 2
Canonical veröffentlicht für die Distributionen Ubuntu 17.10, Ubuntu
16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates auf die Firefox
Version 59. Für openSUSE Leap 42.3 steht ein Sicherheitsupdate
auf die Firefox ESR Version 52.7 zur Verfügung.

Version: 1
Neues Advisory

BESCHREIBUNG
Firefox ist der Open-Source Webbrowser der Mozilla Foundation.

Firefox ESR (Extended Support Release) ist der Open-Source Webbrowser für
Gruppen, die die Desktop-Umgebung in großen Organisationen flächendeckend
installieren und warten.

Der Tor Browser ist eine vorkonfigurierte Kombination aus dem Browser
Mozilla Firefox, Tor Launcher, und dem Tor-Client, welcher das
Web-Browsen innerhalb des Proxy Server Netzwerks Tor ermöglicht.

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen
einem zumeist entfernten, nicht authentisierten Angreifer die Ausführung
beliebigen Programmcodes, das Ausspähen von Informationen, die
Darstellung falscher Informationen, die Durchführung von
Denial-of-Service (DoS)-Angriffen und das Umgehen von
Sicherheitsvorkehrungen mit Hilfe speziell präparierter Webseiten und
Erweiterungen. Eine der Schwachstellen betrifft nur Firefox für Android.

Der Hersteller stellt Mozilla Firefox 59 und Firefox ESR 52.7 zur
Behebung der Schwachstellen bereit. Der Hersteller weist darauf hin, dass
Benutzer von Windows 7 nach dem Update möglicherweise von
Browser-Abstürzen betroffen sind, wenn sie bestimmte Bedienungshilfen
verwenden. Für dieses Problem kann über die Release Notes des Herstellers
ein Workaround gefunden werden.

Auf Basis von Firefox ESR 52.7 wird zeitgleich der Tor Browser 7.5.1 zur
Verfügung gestellt. Dieser wird mit Tor 0.3.2.10 und weiteren Härtungen
gegen häufige Angriffe ausgeliefert.

[1] Firefox 59 Release Notes
<https://www.mozilla.org/en-US/firefox/59.0/releasenotes/>
[2] Mozilla Foundation Security Advisory MFSA 2018-06 (Firefox 59)
<https://www.mozilla.org/en-US/security/advisories/mfsa2018-06/>
[3] Mozilla Foundation Security Advisory MFSA 2018-07 (Firefox ESR 52.7)
<https://www.mozilla.org/en-US/security/advisories/mfsa2018-07/>
[4] Tor Browser 7.5.1 Release Notes
<https://blog.torproject.org/tor-browser-751-released>
[5] Schwachstelle CVE-2018-5125 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5125>
[6] Schwachstelle CVE-2018-5126 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5126>
[7] Schwachstelle CVE-2018-5127 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5127>
[8] Schwachstelle CVE-2018-5128 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5128>
[9] Schwachstelle CVE-2018-5129 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5129>
[10] Schwachstelle CVE-2018-5130 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5130>
[11] Schwachstelle CVE-2018-5131 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5131>
[12] Schwachstelle CVE-2018-5132 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5132>
[13] Schwachstelle CVE-2018-5133 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5133>
[14] Schwachstelle CVE-2018-5134 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5134>
[15] Schwachstelle CVE-2018-5135 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5135>
[16] Schwachstelle CVE-2018-5136 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5136>
[17] Schwachstelle CVE-2018-5137 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5137>
[18] Schwachstelle CVE-2018-5138 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5138>
[19] Schwachstelle CVE-2018-5141 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5141>
[20] Schwachstelle CVE-2018-5142 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5142>
[21] Schwachstelle CVE-2018-5143 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5143>
[22] Schwachstelle CVE-2018-5144 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5144>
[23] Schwachstelle CVE-2018-5145 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5145>
[24] Ubuntu Security Notice USN-3596-1
<https://usn.ubuntu.com/3596-1/>
[25] openSUSE Security Update openSUSE-SU-2018:0681-1
<http://lists.opensuse.org/opensuse-updates/2018-03/msg00042.html>

Mit freundlichen Grüßen
das Team CERT-Bund

——————————————–
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Referat C 21
Godesberger Allee 185 -189
53175 Bonn

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert