Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (11.08.2014):
Für Fedora 19 und Fedora 20 stehen Sicherheitsupdates auf Firefox Version
31 und die aktualisierte Laufzeitumgebung Xulrunner zur Verfügung.
Version 4 (04.08.2014):
Für SUSE Linux Enterprise 11 stehen für Server SP3, Server SP3 für VMware,
Server SP2 LTSS, Server SP1 LTSS, Development Kit SP3 und Desktop SP3
sowie SUSE Linux Enterprise Server 10 SP4 LTSS und SP3 LTSS
Sicherheitsupdates für Mozilla Firefox zur Verfügung.
Version 3 (31.07.2014):
Für die Distributionen openSUSE 12.3 und openSUSE 13.1 sind
Sicherheitsupdates für Firefox erschienen, welche die Schwachstelle
CVE-2014-1551 nicht benennen, da sich diese nur auf Windows Plattformen
bezieht.
Version 2 (25.07.2014):
Für Fedora 19 und Fedora 20 sind Sicherheitsupdates auf Thunderbird 24.7
und Firefox 31erschienen, welche die dem jeweiligen Produkt zugeordneten
Schwachstellen beheben.
Version 1 (23.07.2014):
Neues Advisory
Betroffene Software:
Mozilla Firefox <= 30 Mozilla Firefox ESR <= 24.6 Mozilla Thunderbird <= 24.6 Mozilla Thunderbird <= 30 Betroffene Plattformen: SUSE Software Development Kit 11 SP3 Enterprise Apple Mac OS X Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts GNU/Linux Microsoft Windows openSUSE 12.3 openSUSE 13.1 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Server 10 SP3 LTSS SUSE Linux Enterprise Server 10 SP4 LTSS SUSE Linux Enterprise Server 11 SP1 LTSS SUSE Linux Enterprise Server 11 SP2 LTSS SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware Red Hat Fedora 19 Red Hat Fedora 20 Mehrere Schwachstellen erlauben einem entfernten, nicht authentisierten Angreifer, in den meisten Fällen mittels präparierter Webseiten oder Nachrichten, beliebigen Programmcode mit den Rechten des Benutzers auszuführen, einen Denial-of-Service-Zustand herbeizuführen oder Cross-Site-Scripting-Angriffe durchzuführen. Von Canonical wurden für die Distributionen Ubuntu 12.04 LTS und Ubuntu 14.04 LTS sowohl für Firefox als auch für Thunderbird Sicherheitsupdates bereitgestellt, welche die für das jeweilige Produkte relevanten Schwachstellen beheben. Patch: Ubuntu Security Notice USN-2295-1 http://www.ubuntu.com/usn/usn-2295-1/
Patch:
Ubuntu Security Notice USN-2296-1
http://www.ubuntu.com/usn/usn-2296-1/
Patch:
Mozilla Foundation Security Advisory 2014-56, CVE-2014-1547, CVE-2014-1548
http://www.mozilla.org/security/announce/2014/mfsa2014-56.html
Patch:
Mozilla Foundation Security Advisory 2014-57, CVE-2014-1549
http://www.mozilla.org/security/announce/2014/mfsa2014-57.html
Patch:
Mozilla Foundation Security Advisory 2014-58, CVE-2014-1550
http://www.mozilla.org/security/announce/2014/mfsa2014-58.html
Patch:
Mozilla Foundation Security Advisory 2014-59, CVE-2014-1551
http://www.mozilla.org/security/announce/2014/mfsa2014-59.html
Patch:
Mozilla Foundation Security Advisory 2014-60, CVE-2014-1561
http://www.mozilla.org/security/announce/2014/mfsa2014-60.html
Patch:
Mozilla Foundation Security Advisory 2014-61, CVE-2014-1555
http://www.mozilla.org/security/announce/2014/mfsa2014-61.html
Patch:
Mozilla Foundation Security Advisory 2014-62, CVE-2014-1556
http://www.mozilla.org/security/announce/2014/mfsa2014-62.html
Patch:
Mozilla Foundation Security Advisory 2014-63, CVE-2014-1544
http://www.mozilla.org/security/announce/2014/mfsa2014-63.html
Patch:
Mozilla Foundation Security Advisory 2014-64, CVE-2014-1557
http://www.mozilla.org/security/announce/2014/mfsa2014-64.html
Patch:
Mozilla Foundation Security Advisory 2014-65, CVE-2014-1560, CVE-2014-1559,
CVE-2014-1558
http://www.mozilla.org/security/announce/2014/mfsa2014-65.html
Patch:
Mozilla Foundation Security Advisory 2014-66, CVE-2014-1552
http://www.mozilla.org/security/announce/2014/mfsa2014-66.html
Patch:
Fedora Security Update FEDORA-2014-8736
https://admin.fedoraproject.org/updates/FEDORA-2014-8736/firefox-31.0-1.fc20
Patch:
Fedora Security Update FEDORA-2014-8763
https://admin.fedoraproject.org/updates/FEDORA-2014-8763/firefox-31.0-1.fc19
Patch:
Fedora Security Update FEDORA-2014-8797
https://admin.fedoraproject.org/updates/FEDORA-2014-8797/thunderbird-24.7.0-1.fc20
Patch:
Fedora Security Update FEDORA-2014-8809
https://admin.fedoraproject.org/updates/FEDORA-2014-8809/thunderbird-24.7.0-1.fc19
Patch:
openSUSE Security Update: openSUSE-SU-2014:0939-1
http://lists.opensuse.org/opensuse-updates/2014-07/msg00029.html
Patch:
openSUSE Security Update: SUSE-SU-2014:0960-1
http://lists.opensuse.org/opensuse-security-announce/2014-08/msg00001.html
Patch:
Fedora Security Update FEDORA-2014-9147
https://admin.fedoraproject.org/updates/FEDORA-2014-9147/xulrunner-31.0-1.fc20
Patch:
Fedora Security Update FEDORA-2014-9162
https://admin.fedoraproject.org/updates/FEDORA-2014-9162/xulrunner-31.0-1.fc19
CVE-2014-1561: Schwachstelle in Mozilla Firefox
Eine Schwachstelle in Firefox bis Version 30 ermöglicht einem entfernten,
nicht authentisierten Angreifer Icons der Benutzeroberfläche in dem
sichtbaren Fenster zu verschieben. Dies hat keine weitere Auswirkung auf den
Inhalt der Seite, kann aber die Integrität beeinträchtigen.
CVE-2014-1560: Zertifikatsvalidierungs-Schwachstelle in Mozilla Firefox und
Thunderbird
Es besteht eine Schwachstelle in Mozilla Firefox bis Version 30 und
Thunderbird bis Version 30 beim Parsen von SSL Zertifikaten. Die Funktion
zum Parsen des Zertifikats erwarten nur ASCII-Zeichen und kann mit einer
anderen Zeichenkodierung nicht umgehen, wodurch es zu einem Fehler kommen
kann und valide Zertifikate eventuell nicht analysiert werden können. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle zu einem
Denial-of-Service-Angriff ausnutzen.
CVE-2014-1559: Zertifikatsvalidierungs-Schwachstelle in Mozilla Firefox und
Thunderbird
Es besteht eine Schwachstelle in Mozilla Firefox bis Version 30 und
Thunderbird bis Version 30 beim Parsen von SSL Zertifikaten. Die Funktion
zum Parsen des Zertifikats erwarten nur UTF-8-Zeichen und kann mit einer
anderen Zeichenkodierung nicht umgehen, wodurch es zu einem Fehler kommen
kann und valide Zertifikate eventuell nicht analysiert werden können. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle zu einem
Denial-of-Service-Angriff ausnutzen.
CVE-2014-1558: Zertifikatsvalidierungs-Schwachstelle in Mozilla Firefox und
Thunderbird
Es besteht eine Schwachstelle in Mozilla Firefox bis Version 30 und
Thunderbird bis Version 30 beim Parsen von SSL Zertifikaten. Die Funktion
zum Parsen des Zertifikats erwarten nur UTF-8-Zeichen und kann mit einer
anderen Zeichenkodierung nicht umgehen, wodurch es zu einem Fehler kommen
kann und valide Zertifikate eventuell nicht analysiert werden können. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle zu einem
Denial-of-Service-Angriff ausnutzen.
CVE-2014-1557: Schwachstelle in Mozilla Firefox und Thunderbird erlaubt das
Ausführen beliebigen Programmcodes
Beim Skalieren von einem hochauflösenden Bild, durch Verwendung der Skia
Bibliothek, kann Firefox oder Thunderbird abstürzen. Ein entfernter, nicht
authentifizierter Angreifer kann, durch eine Web-Seite mit schädlichen
Inhalt, Denial-of-Service-Angriffe durchführen oder beliebigen Programmcode
mit Benutzerrechten zur Ausführung bringen. (Bei Thunderbird muss Skripting
aktiviert sein.)
CVE-2014-1556: Schwachstelle in Mozilla Firefox undThunderbird erlaubt das
Ausführen beliebigen Programmcodes
Es existiert eine Schwachstelle beim Generieren von WebGL-Inhalten mit der
Cesium JavaScript-Bibliothek. Ein entfernter, nicht authentifizierter
Angreifer kann, durch eine Web-Seite mit schädlichen Inhalt,
Denial-of-Service-Angriffe durchführen oder beliebigen Programmcode mit
Benutzerrechten zur Ausführung bringen. (Bei Thunderbird muss Skripting
aktiviert sein.)
CVE-2014-1555: Schwachstelle in Mozilla Firefox und Thunderbird erlaubt das
Ausführen beliebigen Programmcodes
Es existiert eine Use-after-free-Schwachstelle in Mozilla Firefox und
Thunderbird. Wird das FireOnStateChange-Event ausgelöst kann es das Programm
zum Absturz bringen. Ein entfernter, nicht authentifizierter Angreifer kann,
durch eine Web-Seite mit schädlichem Inhalt, Denial-of-Service-Angriffe
durchführen oder beliebigen Programmcode mit Benutzerrechten zur Ausführung
bringen. (Bei Thunderbird muss Skripting aktiviert sein.)
CVE-2014-1552: Cross-Site-Scripting-Schwachstelle in Mozilla Firefox und
Thunderbird
Es existiert eine Schwachstelle in Mozilla Firefox bis Version 30 und
Thunderbird bis Version 30 bei der Inline-Frames nicht ausreichend auf ihren
isolierten Bereich (Sandbox) beschränkt werden. Ein entfernter, nicht
authentisierter Angreifer kann, sofern Scripting erlaubt ist, die
Schwachstelle zu einem Cross-Side-Scripting-Angriff ausnutzen.
CVE-2014-1551: Use-after-free-Schwachstelle in DirectWrite erlaubt
Denial-of-Service
Eine Use-after-free-Schwachstelle in den Mozilla-Produkten Firefox und
Thunderbird besteht im Font-Handling durch DirectWrite, wenn MathML-Inhalte
mit speziellen Fonts gerendert werden, aufgrund eines Fehlers bei der
Behandlung von Font-Ressourcen und Tabellen. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um DirectWrite
zum Absturz zu bringen, d.h. einen partiellen Denial-of-Service-Zustand
herbeizuführen. Diese Schwachstelle beschränkt sich auf Windows-Plattformen
und betrifft keine OS X oder Linux-Systeme. Für Thunderbird kann die
Schwachstelle nur ausgenutzt werden, wenn Skripting aktiviert ist.
CVE-2014-1550: Use-after-free-Schwachstelle in Web Audio erlaubt
Denial-of-Service und Ausführen beliebigen Programmcodes
Eine Use-after-free-Schwachstelle in Web Audio wurde für die
Mozilla-Produkte Firefox 30 und Thunderbird 30 gefunden. Die Schwachstelle
besteht aufgrund eines Fehlers bei der Sortierung und Verarbeitung von
Steuernachrichten für Web Audio. Ein entfernter, nicht authentisierter
Angreifer kann diese Schwachstelle ausnutzen – für Thunderbird muss dafür
Skripting aktiviert sein -, um die Applikation zum Absturz zu bringen
(Denial-of-Service) oder beliebigen Programmcode mit den Rechten des
Benutzers ausführen zu lassen.
CVE-2014-1549: Pufferüberlauf-Schwachstelle in Mozilla Produkten erlaubt
Denial-of-Service und Ausführen beliebigen Programmcodes
Eine Pufferüberlauf wurde in den Mozilla Produkten Firefox bis Version 30
und Thunderbird bis Version 30 gefunden, wenn eine Interaktion mit dem
WebAudio-Puffer (Speicherbereich) stattfindet. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen – für
Thunderbird muss dafür Skripting aktiviert sein -, um die Applikation zum
Absturz zu bringen (Denial-of-Service) oder beliebigen Programmcode mit den
Rechten des Benutzers ausführen zu lassen.
CVE-2014-1548: Memory-Safety-Schwachstelle in Firefox erlaubt
Denial-of-Service und Ausführen beliebigen Programmcodes
Eine Memory-Safety-Schwachstelle besteht in Mozilla Firefox bis Version 30.
Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, indem er einen Benutzer dazu bringt, eine speziell präparierte
Webseite in seinem Firefox-Browser zu öffnen, um die Applikation zum Absturz
zu bringen (Denial-of-Service) oder beliebigen Programmcode mit den Rechten
des Benutzers ausführen zu lassen.
CVE-2014-1547: Memory-Safety-Schwachstelle in Mozilla erlaubt
Denial-of-Service und Ausführen beliebigen Programmcodes
Eine Memory-Safety-Schwachstelle wurde in den Mozilla-Produkten Firefox und
Thunderbird gefunden. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, indem er einen Benutzer dazu bringt, eine
speziell präparierte Webseite in seinem Firefox-Browser oder eine speziell
präparierte Nachricht in Thunderbird zu öffnen, während Skripting aktiviert
ist, um die Applikation zum Absturz zu bringen oder beliebigen Programmcode
mit den Rechten des Benutzers ausführen zu lassen.
CVE-2014-1544: Use-after-free-Schwachstelle in Mozilla NSS ermöglicht
Ausführung von beliebigem Programmcode
Es besteht eine Use-after-free-Schwachstelle bei der Zertifikatsvalidierung
in Mozillas Network Security Services. Wenn das Scripting auf Nutzerseite
aktiviert ist, kann ein entfernter, nicht authentisierter Angreifer die
Schwachstelle dazu nutzen beliebigen Programmcode mit den Rechten des
Benutzers auszuführen oder die Anwendung zum Absturz zu bringen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0949/
Ubuntu Security Notice USN-2295-1:
http://www.ubuntu.com/usn/usn-2295-1/
Ubuntu Security Notice USN-2296-1:
http://www.ubuntu.com/usn/usn-2296-1/
Mozilla Foundation Security Advisory 2014-56, CVE-2014-1547, CVE-2014-1548:
http://www.mozilla.org/security/announce/2014/mfsa2014-56.html
Mozilla Foundation Security Advisory 2014-57, CVE-2014-1549:
http://www.mozilla.org/security/announce/2014/mfsa2014-57.html
Mozilla Foundation Security Advisory 2014-58, CVE-2014-1550:
http://www.mozilla.org/security/announce/2014/mfsa2014-58.html
Mozilla Foundation Security Advisory 2014-59, CVE-2014-1551:
http://www.mozilla.org/security/announce/2014/mfsa2014-59.html
Mozilla Foundation Security Advisory 2014-60, CVE-2014-1561:
http://www.mozilla.org/security/announce/2014/mfsa2014-60.html
Mozilla Foundation Security Advisory 2014-61, CVE-2014-1555:
http://www.mozilla.org/security/announce/2014/mfsa2014-61.html
Mozilla Foundation Security Advisory 2014-62, CVE-2014-1556:
http://www.mozilla.org/security/announce/2014/mfsa2014-62.html
Mozilla Foundation Security Advisory 2014-63, CVE-2014-1544:
http://www.mozilla.org/security/announce/2014/mfsa2014-63.html
Mozilla Foundation Security Advisory 2014-64, CVE-2014-1557:
http://www.mozilla.org/security/announce/2014/mfsa2014-64.html
Mozilla Foundation Security Advisory 2014-65, CVE-2014-1560, CVE-2014-1559,
CVE-2014-1558:
http://www.mozilla.org/security/announce/2014/mfsa2014-65.html
Mozilla Foundation Security Advisory 2014-66, CVE-2014-1552:
http://www.mozilla.org/security/announce/2014/mfsa2014-66.html
Schwachstelle CVE-2014-1544 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1544
Schwachstelle CVE-2014-1547 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1547
Schwachstelle CVE-2014-1548 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1548
Schwachstelle CVE-2014-1549 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1549
Schwachstelle CVE-2014-1550 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1550
Schwachstelle CVE-2014-1551 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1551
Schwachstelle CVE-2014-1552 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1552
Schwachstelle CVE-2014-1555 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1555
Schwachstelle CVE-2014-1556 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1556
Schwachstelle CVE-2014-1557 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1557
Schwachstelle CVE-2014-1558 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1558
Schwachstelle CVE-2014-1559 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1559
Schwachstelle CVE-2014-1560 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1560
Schwachstelle CVE-2014-1561 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1561
Fedora Security Update FEDORA-2014-8736:
https://admin.fedoraproject.org/updates/FEDORA-2014-8736/firefox-31.0-1.fc20
Fedora Security Update FEDORA-2014-8763:
https://admin.fedoraproject.org/updates/FEDORA-2014-8763/firefox-31.0-1.fc19
Fedora Security Update FEDORA-2014-8797:
https://admin.fedoraproject.org/updates/FEDORA-2014-8797/thunderbird-24.7.0-1.fc20
Fedora Security Update FEDORA-2014-8809:
https://admin.fedoraproject.org/updates/FEDORA-2014-8809/thunderbird-24.7.0-1.fc19
openSUSE Security Update: openSUSE-SU-2014:0939-1:
http://lists.opensuse.org/opensuse-updates/2014-07/msg00029.html
openSUSE Security Update: SUSE-SU-2014:0960-1:
http://lists.opensuse.org/opensuse-security-announce/2014-08/msg00001.html
Fedora Security Update FEDORA-2014-9147:
https://admin.fedoraproject.org/updates/FEDORA-2014-9147/xulrunner-31.0-1.fc20
Fedora Security Update FEDORA-2014-9162:
https://admin.fedoraproject.org/updates/FEDORA-2014-9162/xulrunner-31.0-1.fc19
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
