Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-1710 Mozilla Firefox, Firefox ESR, NSS, Tor Browser: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Debian][Fedora][RedHat][SuSE][Apple][Windows][Netzwerk]

12.10.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 6 (12.10.2017):
Debian veröffentlicht für die Distributionen Jessie (old stable), Stretch
(stable und mittlerweile Version 9.2) sowie Buster (testing)
Sicherheitsupdates für NSS, um die Schwachstelle CVE-2017-7805 zu beheben.
Version 5 (10.10.2017):
Für SUSE OpenStack Cloud 6, die SUSE Linux Enterprise Produkte Software
Development Kit und Desktop jeweils in den Versionen 12 SP2 und 12 SP3,
SUSE Linux Enterprise Server 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3,
Server for SAP 12 SP1, Server for Raspberry Pi 12 SP2 sowie SUSE Container
as a Service Platform ALL stehen Sicherheitsupdates für Mozilla Firefox
auf die Version ESR 52.4 bereit.
Version 4 (05.10.2017):
Canonical informiert mittels der Ubuntu Security Notice USN-3435-2
darüber, dass das Sicherheitsupdate für den Firefox Browser (USN-3435-1)
eine Regression eingeführt hat, die in einigen Fällen dazu führen kann,
dass das Flash Plugin abstützt. Canonical behebt die Regression mit den
aktualisierten Paketen.
Version 3 (04.10.2017):
Canonical stellt Sicherheitsupdates für Ubuntu 14.04 LTS, Ubuntu 16.04 LTS
und Ubuntu 17.04 auf die Firefox Version 56 bereit. Über eine weitere
Meldung (USN-3431-1) wird ein gesondertes Sicherheitsupdate für die
Network Security Service (NSS) Bibliothek für eben jene Distributionen
veröffentlicht, um die Denial-of-Service-Schwachstelle CVE-2017-7805 zu
beheben. Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen
Sicherheitsupdates auf die Mozilla Firefox 52.4 ESR Version und die NSS
Version 3.28.6 zur Verfügung. Und für Oracle VM 3.3 und Oracle VM 3.4 wird
die Schwachstelle in der NSS Bibliothek über Backport-Sicherheitsupdates
adressiert.
Version 2 (02.10.2017):
Für Fedora 25 und 26 stehen Sicherheitsupdates auf den Firefox Browser
Version 56 in Form der Pakete 'firefox-56.0-2.fc25' und
'firefox-56.0-2.fc26' im Status 'testing' zur Verfügung. Für Fedora 26 und
27 stehen die Sicherheitsupdates 'firefox-56.0-3.fc26' und
'firefox-56.0-3.fc27' im Status 'pending' bereit. Debian veröffentlicht
für die stabile Distribution Stretch sowie die vormals stabile
Distribution Jessie den Firefox ESR Browser in der Version 52.4 als
Sicherheitsupdate.
Version 1 (29.09.2017):
Neues Advisory

Betroffene Software:

Mozilla Firefox < 56
Mozilla Firefox ESR < 52.4
Mozilla Network Security Services < 3.28.6
Tor Browser < 7.0.6
Tor Browser < 7.5a5


Betroffene Plattformen:

SUSE Container-as-a-Service-(CaaS)-Plattform ALL
SUSE Linux Enterprise Software Development Kit 12 SP2
SUSE Linux Enterprise Software Development Kit 12 SP3
SUSE OpenStack Cloud 6
Apple Mac OS X
macOS Sierra
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 17.04
Debian Linux 8.9 Jessie
Debian Linux 9.1 Stretch
Debian Linux 9.2 Stretch
Debian Linux 10.0 Buster
GNU/Linux
Google Android Operating System
Microsoft Windows
openSUSE Leap 42.2
openSUSE Leap 42.3
SUSE Linux Enterprise Desktop 12 SP2
SUSE Linux Enterprise Desktop 12 SP3
SUSE Linux Enterprise Server 12 LTSS
SUSE Linux Enterprise Server 12 SP1 LTSS
SUSE Linux Enterprise Server for SAP 12 SP1
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
SUSE Linux Enterprise Server 12 SP3
Oracle Linux 6
Oracle Linux 7
Oracle VM Server 3.3
Oracle VM Server 3.4
Red Hat Enterprise Linux for Scientific Computing 6
Red Hat Enterprise Linux for Scientific Computing 7
Red Hat Enterprise Linux 7.4 EUS Compute Node
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server for ARM 7
Red Hat Enterprise Linux Server 7.4 AUS
Red Hat Enterprise Linux Server 7.4 EUS
Red Hat Enterprise Linux Server 7.4 TUS
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 25
Red Hat Fedora 26
Red Hat Fedora 27



Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen einem
entfernten, nicht authentisierten Angreifer das Ausführen beliebigen
Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von
Informationen, die Darstellung falscher Informationen sowie die Durchführung
eines Cross-Site-Scripting (XSS)-Angriffs und verschiedene Denial-of-Service
(DoS)-Angriffe. Ein lokaler, nicht authentisierter Angreifer kann eine
Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen und beliebige
lokale Dateien zu öffnen. Die Schwachstelle CVE-2017-7817 betrifft nur
Firefox für Android und die Schwachstelle CVE-2017-7825 nur Firefox für Mac
OS X-Betriebssysteme.

Die Mozilla Foundation stellt den Browser Firefox in der Version 56 und das
Extended Support Release Firefox ESR in der Version 52.4 bereit, um die
Schwachstellen zu beheben.

Das Tor Browser Projekt veröffentlicht zur Behebung der Schwachstellen die
auf Firefox ESR 52.4 basierende stabile Version 7.0.6 des Browsers und
verwendet darin nun die Tor-Version 0.3.1.7 sowie die
HTTPS-Everywhere-Version 2017.9.12. Des weiteren wird die Alpha-Version
7.5a5 des Tor-Browsers zur Verfügung gestellt, welche ebenfalls auf Firefox
ESR 52.4 basiert.

Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produktvarianten
Server, Desktop und Workstation sowie für Server for ARM 7, Linux for
Scientific Computing 6 und die Server Produktversionen Extended Update
Support (EUS) 7.4, Advanced Update Support (AUS) 7.4 und Telco Update
Support (TUS) 7.4 den Firefox ESR Browser in der Version 52.4 als
Sicherheitsupdate bereit. Die Schwachstelle CVE-2017-7805 in den Network
Security Services (NSS) adressiert Red Hat mittels eines gesonderten
Sicherheitsupdates (RHSA-2017:2832) für 'nss', welches zusätzlich auch für
die Produktvarianten Linux for Scientific Computing 7 und Compute Node
Extended Update Support (EUS) 7.4 bereitsteht.

Oracle stellt für Oracle Linux 6 (i386, x86_64) und 7 (x86_64) den Firefox
ESR Browser in der Version 52.4 als Sicherheitsupdate bereit. Für die
Network Security Services (NSS) steht ebenfalls ein gesondertes
Sicherheitsupdate (ELSA-2017-2832) für Oracle Linux 6 (x86_64) und 7
(x86_64) bereit, um die Schwachstelle CVE-2017-7805 zu beheben.


Patch:

Mozilla Foundation Security Advisory MFSA 2017-21

<https://www.mozilla.org/en-US/security/advisories/mfsa2017-21/>

Patch:

Mozilla Foundation Security Advisory MFSA 2017-22

<https://www.mozilla.org/en-US/security/advisories/mfsa2017-22/>

Patch:

Oracle Linux Security Advisory ELSA-2017-2831

<https://linux.oracle.com/errata/ELSA-2017-2831.html>

Patch:

Oracle Linux Security Advisory ELSA-2017-2832

<https://linux.oracle.com/errata/ELSA-2017-2832.html>

Patch:

Red Hat Security Advisory RHSA-2017:2831

<https://access.redhat.com/errata/RHSA-2017:2831>

Patch:

Red Hat Security Advisory RHSA-2017:2832

<https://access.redhat.com/errata/RHSA-2017:2832>

Patch:

Tor Browser 7.0.6 Release Notes

<https://blog.torproject.org/tor-browser-706-released>

Patch:

Tor Browser 7.5a5 Release Notes

<https://blog.torproject.org/tor-browser-75a5-released>

Patch:

Debian Security Advisory DSA-3987-1

<https://www.debian.org/security/2017/dsa-3987>

Patch:

Fedora Security Update FEDORA-2017-2c933656a2 (Fedora 25,
firefox-56.0-2.fc25)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-2c933656a2>

Patch:

Fedora Security Update FEDORA-2017-3ede6585dc (Fedora 27,
firefox-56.0-3.fc27)

<https://bodhi.fedoraproject.org/updates/firefox-56.0-3.fc27>

Patch:

Fedora Security Update FEDORA-2017-730e299c49 (Fedora 26,
firefox-56.0-2.fc26)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-730e299c49>

Patch:

Fedora Security Update FEDORA-2017-825ffaa9fc (Fedora 26,
firefox-56.0-3.fc26)

<https://bodhi.fedoraproject.org/updates/firefox-56.0-3.fc26>

Patch:

Oracle VM Security Advisory OVMSA-2017-0154 (Oracle VM 3.4)

<https://oss.oracle.com/pipermail/oraclevm-errata/2017-September/000782.html>

Patch:

Oracle VM Security Advisory OVMSA-2017-0156 (Oracle VM 3.3)

<https://oss.oracle.com/pipermail/oraclevm-errata/2017-September/000783.html>

Patch:

Ubuntu Security Notice USN-3431-1

<http://www.ubuntu.com/usn/usn-3431-1/>

Patch:

Ubuntu Security NoticeUSN-3435-1

<http://www.ubuntu.com/usn/usn-3435-1/>

Patch:

openSUSE Security Update openSUSE-SU-2017:2615-1

<http://lists.opensuse.org/opensuse-updates/2017-10/msg00003.html>

Patch:

Ubuntu Security Notice USN-3435-2

<http://www.ubuntu.com/usn/usn-3435-2/>

Patch:

SUSE Security Update SUSE-SU-2017:2688-1

<http://lists.suse.com/pipermail/sle-security-updates/2017-October/003282.html>

Patch:

Debian Security Advisory DSA-3998-1

<https://www.debian.org/security/2017/dsa-3998>


CVE-2017-7825: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Darstellen falscher Informationen

In Mozilla Firefox und Firefox ESR besteht eine Schwachstelle, weil einige
in Apple OS X-Betriebssystemen verwendete Schriftarten tibetanische und
arabische Zeichen als Leerzeichen darstellen. Werden diese in der
Adresszeile als Teil eines IDN (internationalisierten Domainnamen)
verwendet, können gefälschte Domänennamen dargestellt werden. Ein
entfernter, nicht authentisierter Angreifer kann falsche Informationen
darstellen.


CVE-2017-7824: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff

In Mozilla Firefox und Firefox ESR existiert eine Schwachstelle, durch einen
Pufferspeicherüberlauf beim Zeichnen und Validieren von Elementen mit der
ANGLE-Grafikbibliothek für WebGL-Inhalte, weil bestimmte Werte innerhalb der
Bibliothek nicht ausreichend überprüft werden. Ein entfernter, nicht
authentisierter Angreifer kann dies ausnutzen und einen Absturz der
Anwendung provozieren (Denial-of-Service, DoS), der sich möglicherweise für
weitere Angriffe ausnutzen lässt (exploitable Crash).


CVE-2017-7823: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Cross-Site-Scripting-Angriff

In Mozilla Firefox und Firefox ESR besteht eine Schwachstelle, weil die
Content Security Policy (CSP)-'Sandbox'-Direktive keine eindeutige Herkunft
für Dokumente erstellt. Diese verhält sich dadurch immer so, als sei das
Schlüsselwort 'allow-same-origin' spezifiziert. Ein entfernter, nicht
authentisierter Angreifer kann einen Cross-Site-Scripting (XSS)-Angriff
durchführen.


CVE-2017-7822: Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von
Informationen

In Mozilla Firefox existiert eine Schwachstelle in der AES/GCM
(Galois/Counter Mode)-Implementierung in der WebCrypto API, weil diese einen
leeren Initialisierungsvektor (0-length IV) akzeptiert, obwohl nach der
Spezifikation 'NIST Special Publication 800-38D' die Länge '1'
vorgeschrieben ist. In einigen Fällen kann dadurch der
Authentifizierungsschlüssel bestimmt werden. Ein entfernter, nicht
authentisierter Angreifer kann durch das Ausnutzen der Schwachstelle
Informationen ausspähen.


CVE-2017-7821: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen

In Mozilla Firefox besteht eine Schwachstelle, wodurch eine Web-Erweiterung
(WebExtensions) nicht ausführbare Dateien herunterladen und öffnen kann,
ohne dass eine Benutzerinteraktion notwendig ist. Ein entfernter, nicht
authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen und Dateien
unerlaubt herunterladen und öffnen. Dadurch ist es dem Angreifer möglich
bekannte Schwachstellen in den Programmen auszunutzen, mit denen die Dateien
geöffnet werden.


CVE-2017-7820: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen

In Mozilla Firefox existiert eine Schwachstelle, weil der
'instanceof'-Operator den 'Xray wrapper'-Mechanismus umgehen kann. Wird
dieser von Webinhalten durch den Browser oder eine Erweiterung aufgerufen,
können die Webinhalte dem Operator ein eigenes Ergebnis bereitstellen und
den Browser dazu verleiten ein Element fehlerhaft zu behandeln. Ein
entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen.


CVE-2017-7819: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff

In Mozilla Firefox und Firefox ESR existiert eine
Use-after-free-Schwachstelle im Design Mode, wenn für Bildobjekte
Größenanpassungen vorgenommen werden. Ein entfernter, nicht authentisierter
Angreifer kann dies ausnutzen und einen Absturz der Anwendung provozieren
(Denial-of-Service, DoS), der sich möglicherweise für weitere Angriffe
ausnutzen lässt (exploitable Crash).


CVE-2017-7818: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff

In Mozilla Firefox und Firefox ESR existiert eine
Use-after-free-Schwachstelle, wenn über das DOM (Document Object Model)
Arrays mit Accessible Rich Internet Applications (ARIA)-Elementen innerhalb
von Containern manipuliert werden. Ein entfernter, nicht authentisierter
Angreifer kann dies ausnutzen und einen Absturz der Anwendung provozieren
(Denial-of-Service, DoS), der sich möglicherweise für weitere Angriffe
ausnutzen lässt (exploitable Crash).


CVE-2017-7817: Schwachstelle in Firefox for Android ermöglicht Darstellen
falscher Informationen

In Mozilla Firefox for Android existiert eine Schwachstelle, wenn eine Seite
in den Vollbildmodus wechselt ohne den Benutzer darüber zu informieren. Dies
ermöglicht es einem Angreifer eine gefälschte Adresszeile darzustellen
(Spoofing), wodurch zu der dargestellten Webseite eine falsche Adresse
vorgetäuscht werden kann, die den Benutzer zu Aktionen im Kontext dieser
Webseite verleiten soll. Ein entfernter, nicht authentisierter Angreifer
kann falsche Informationen darstellen.


CVE-2017-7816: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen

In Mozilla Firefox besteht eine Schwachstelle, die es einer Web-Erweiterung
(WebExtensions) ermöglicht über die eigene Benutzeroberfläche Popup-Fenster
und Panels dazu zu verwenden privilegierte 'about:'-URL's aufzurufen, womit
Sicherheitsvorkehrungen, die dieses Verhalten verbieten, umgangen werden.
Ein entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen.


CVE-2017-7815: Schwachstelle in Mozilla Firefox ermöglicht Darstellen
falscher Informationen

In Mozilla Firefox besteht eine Schwachstelle, wenn die Option 'e10s
Multiprocess' deaktiviert ist, wodurch auf Webseiten mit eingebettetem
iFrame das 'data:'-Protokoll ausgenutzt werden kann, um über JavaScript
einen modalen Dialog mit beliebigem Domänennamen darzustellen. Ein
entfernter, nicht authentisierter Angreifer kann falsche Informationen in
einem modalen Dialog darstellen.


CVE-2017-7814: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Umgehen von Sicherheitsvorkehrungen

Werden Downloads in Mozilla Firefox und Firefox ESR mit 'blob:'- und
'data:'-URL-Elementen kodiert, werden die gewöhnlichen Prüfungen für
Datei-Downloads sowie die Block-Liste für bösartige Webseiten und Dateien
des 'Phishing and Malware Protection'-Features umgangen. Ein Angreifer kann
dies ausnutzen und einen Benutzer dazu verleiten Dateien herunterzuladen,
welche ansonsten als verdächtig erkannt werden würden. Ein entfernter, nicht
authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen.


CVE-2017-7813: Schwachstelle in Mozilla Firefox ermöglicht
Denial-of-Service-Angriff und Ausspähen von Informationen

Im JavaScript-Parser in Mozilla Firefox besteht eine Schwachstelle, weil das
Umwandeln (Cast) einer Variablen vom Typ 'Integer' in einen kleineren
Datentyp (narrower Type) dazu führen kann, dass der JavaScript-Parser Daten
außerhalb des Pufferspeichers verarbeitet. Ein entfernter, nicht
authentisierter Angreifer kann dies ausnutzen und die Anwendung abstürzen
lassen (Denial-of-Service) oder geringe Mengen an Informationen ausspähen,
wenn die JavaScript-Identifier-Syntax dabei zutrifft.


CVE-2017-7812: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen

In Mozilla Firefox besteht eine Schwachstelle, wenn Webinhalte auf einer
Seite auf Teile der Browser-Benutzeroberfläche (UI) gezogen werden,
beispielsweise auf die Tab-Leiste, da dadurch Links geöffnet werden können,
die sonst nicht geöffnet werden dürfen. Ein lokaler, nicht authentisierter
Angreifer kann dies über bösartig präparierte Webinhalte ausnutzen und über
'file:'-URL's auf lokale Dateien zugreifen.


CVE-2017-7811: Schwachstellen in Mozilla Firefox ermöglichen Ausführung
beliebigen Programmcodes

Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla
Firefox, die zu Speicherfehlern führen können (Memory Safety Bugs). Dazu
können beispielsweise Pufferüberläufe, Fehler bei der dynamischen
Speicherverwaltung, nicht initialisierte Variablen und die Erschöpfung von
Speicher gehören. Der Hersteller geht davon aus, dass einige der
Schwachstellen von einem entfernten, nicht authentifizierten Angreifer für
die Ausführung beliebigen Programmcodes ausgenutzt werden können.


CVE-2017-7810: Schwachstellen in Mozilla Firefox, Firefox ESR und
Thunderbird ermöglichen Ausführung beliebigen Programmcodes

Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla
Firefox und Firefox ESR, die zu Speicherfehlern führen können (Memory Safety
Bugs). Dazu können beispielsweise Pufferüberläufe, Fehler bei der
dynamischen Speicherverwaltung, nicht initialisierte Variablen und die
Erschöpfung von Speicher gehören. Der Hersteller geht davon aus, dass einige
der Schwachstellen von einem entfernten, nicht authentifizierten Angreifer
für die Ausführung beliebigen Programmcodes ausgenutzt werden können.


CVE-2017-7805: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff

In Mozilla Firefox und Firefox ESR existiert eine
Use-after-free-Schwachstelle, die während des TLS 1.2 Handshakes auftreten
kann. Dabei erstellte Handshake-Hashes referenzieren mit einem Zeiger
Speicherbereiche in einem Nachrichtenpuffer, dessen Daten für spätere
Nachrichten verwendet werden. In einigen Fällen kann dieser Speicher durch
das Handshake-Protokoll aufgebraucht werden, wodurch ein neuer
Pufferspeicher alloziert und der alte freigegeben wird, obwohl die Zeiger
der Hashes noch auf den alten Pufferspeicher zeigen. Ein entfernter, nicht
authentisierter Angreifer kann dies ausnutzen und einen Absturz der
Anwendung provozieren (Denial-of-Service, DoS), der sich möglicherweise für
weitere Angriffe ausnutzen lässt (exploitable Crash).


CVE-2017-7793: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff

In Mozilla Firefox und Firefox ESR existiert eine
Use-after-free-Schwachstelle in der Fetch API, wodurch ein Worker oder das
damit verbundene Fenster freigegeben werden können, obwohl diese noch
verwendet werden. Ein entfernter, nicht authentisierter Angreifer kann dies
ausnutzen und einen Absturz der Anwendung provozieren (Denial-of-Service,
DoS), der sich möglicherweise für weitere Angriffe ausnutzen lässt
(exploitable Crash).


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-1710/>

Mozilla Foundation Security Advisory MFSA 2017-21:
<https://www.mozilla.org/en-US/security/advisories/mfsa2017-21/>

Mozilla Foundation Security Advisory MFSA 2017-22:
<https://www.mozilla.org/en-US/security/advisories/mfsa2017-22/>

Oracle Linux Security Advisory ELSA-2017-2831:
<https://linux.oracle.com/errata/ELSA-2017-2831.html>

Oracle Linux Security Advisory ELSA-2017-2832:
<https://linux.oracle.com/errata/ELSA-2017-2832.html>

Red Hat Security Advisory RHSA-2017:2831:
<https://access.redhat.com/errata/RHSA-2017:2831>

Red Hat Security Advisory RHSA-2017:2832:
<https://access.redhat.com/errata/RHSA-2017:2832>

Tor Browser 7.0.6 Release Notes:
<https://blog.torproject.org/tor-browser-706-released>

Tor Browser 7.5a5 Release Notes:
<https://blog.torproject.org/tor-browser-75a5-released>

Schwachstelle CVE-2017-7793 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7793>

Schwachstelle CVE-2017-7805 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7805>

Schwachstelle CVE-2017-7810 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7810>

Schwachstelle CVE-2017-7811 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7811>

Schwachstelle CVE-2017-7812 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7812>

Schwachstelle CVE-2017-7813 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7813>

Schwachstelle CVE-2017-7814 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7814>

Schwachstelle CVE-2017-7815 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7815>

Schwachstelle CVE-2017-7816 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7816>

Schwachstelle CVE-2017-7817 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7817>

Schwachstelle CVE-2017-7818 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7818>

Schwachstelle CVE-2017-7819 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7819>

Schwachstelle CVE-2017-7820 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7820>

Schwachstelle CVE-2017-7821 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7821>

Schwachstelle CVE-2017-7822 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7822>

Schwachstelle CVE-2017-7823 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7823>

Schwachstelle CVE-2017-7824 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7824>

Schwachstelle CVE-2017-7825 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7825>

Debian Security Advisory DSA-3987-1:
<https://www.debian.org/security/2017/dsa-3987>

Fedora Security Update FEDORA-2017-2c933656a2 (Fedora 25, firefox-56.0-2.fc25):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-2c933656a2>

Fedora Security Update FEDORA-2017-3ede6585dc (Fedora 27,
firefox-56.0-3.fc27):
<https://bodhi.fedoraproject.org/updates/firefox-56.0-3.fc27>

Fedora Security Update FEDORA-2017-730e299c49 (Fedora 26, firefox-56.0-2.fc26):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-730e299c49>

Fedora Security Update FEDORA-2017-825ffaa9fc (Fedora 26, firefox-56.0-3.fc26):
<https://bodhi.fedoraproject.org/updates/firefox-56.0-3.fc26>

Oracle VM Security Advisory OVMSA-2017-0154 (Oracle VM 3.4):
<https://oss.oracle.com/pipermail/oraclevm-errata/2017-September/000782.html>

Oracle VM Security Advisory OVMSA-2017-0156 (Oracle VM 3.3):
<https://oss.oracle.com/pipermail/oraclevm-errata/2017-September/000783.html>

Ubuntu Security Notice USN-3431-1:
<http://www.ubuntu.com/usn/usn-3431-1/>

Ubuntu Security NoticeUSN-3435-1:
<http://www.ubuntu.com/usn/usn-3435-1/>

openSUSE Security Update openSUSE-SU-2017:2615-1:
<http://lists.opensuse.org/opensuse-updates/2017-10/msg00003.html>

Ubuntu Security Notice USN-3435-2:
<http://www.ubuntu.com/usn/usn-3435-2/>

SUSE Security Update SUSE-SU-2017:2688-1:
<http://lists.suse.com/pipermail/sle-security-updates/2017-October/003282.html>

SUSE Security Update SUSE-SU-2017:2688-1:
<https://www.suse.com/de-de/support/update/announcement/2017/suse-su-20172688-1/>

Debian Security Advisory DSA-3998-1:
<https://www.debian.org/security/2017/dsa-3998>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.