Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Mozilla SeaMonkey <= 2.30 Betroffene Plattformen: openSUSE 12.3 openSUSE 13.1 Mehrere Schwachstellen in Seamonkey ermöglichen in den meisten Fällen einem entfernten, nicht authentifizierten Angreifer, beliebigen Programmcode mit den Rechten des Benutzers zur Ausführung zu bringen oder einen Denial-of-Service-Zustand zu bewirken. Andere Schwachstellen ermöglichen entweder das Ausspähen von Informationen, Man-in-the-Middle-Angriffe oder das Umgehen von Sicherheitsvorkehrungen. Für openSUSE 13.1 und openSUSE 12.3 wird Seamonkey auf Version 2.31 aktualisiert. Patch: openSUSE Security Update openSUSE-SU-2014:1656-1 http://lists.opensuse.org/opensuse-updates/2014-12/msg00069.html
CVE-2014-1594: Schwachstelle in Mozilla Browser-Engine ermöglicht das
Ausführen beliebigen Programmcodes
In Mozilla Firefox wurde ein falsches Casting von BasicThebesLayer zu
BasicContainerLayer gefunden. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle mit Hilfe einer speziell präparierten
Webseite ausnutzen, um die Anwendung abstürzen zu lassen oder beliebigen
Programmcode mit den Rechten des Benutzers auszuführen.
CVE-2014-1593: Speicherüberlauf-Schwachstelle in Mozilla Medienverarbeitung
ermöglicht das Ausführen beliebigen Programmcodes
Während der Verarbeitung von Media-Inhalten kann es zu einem
Speicherüberlauf kommen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle mit Hilfe einer speziell präparierten Webseite
ausnutzen, um die Anwendung abstürzen zu lassen oder beliebigen Programmcode
mit den Rechten des Benutzers auszuführen.
CVE-2014-1592: Speicherverwaltungsschwachstelle in Mozilla Browser-Engine
ermöglicht das Ausführen beliebigen Programmcodes
Während des Parsens von HTML-Inhalt, der in ein mit document.open()
erzeugtes Dokument geschrieben wird, kann es dazu kommen, dass Speicher
weiterverwendet wird, obwohl dieser bereits freigegeben wurde
(use-after-free), falls ein zweites Wurzelelement angelegt wird. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle mit
Hilfe einer speziell präparierten Webseite ausnutzen, um die Anwendung
abstürzen zu lassen oder beliebigen Programmcode mit den Rechten des
Benutzers auszuführen.
CVE-2014-1591: Schwachstelle in Content Security Policy von Mozilla
ermöglicht das Ausspähen von Informationen
CSP Verletzungsberichte, die von einer Umleitung angestoßen werden,
entfernen nicht die Pfadinformationen, obwohl das in der CSP Spezifikation
vorgegeben ist. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle mit Hilfe einer speziell präparierten Webseite ausnutzen, um
an sensitive Informationen wie Benutzernamen oder Single-Sign-On-Token zu
kommen.
CVE-2014-1590: Schwachstelle in Mozilla Browser-Engine ermöglicht
Denial-of-Service-Angriff
Ein an XMLHttpRequest übergebenes JavaScript-Objekt kann unter bestimmten
Umständen zu einem Absturz der Anwendung führen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle mit Hilfe einer
speziell präparierten Webseite ausnutzen, um einen Denial-of-Service-Angriff
durchzuführen.
CVE-2014-1589: Schwachstelle in Mozilla Firefox ermöglicht das Umgehen von
Sicherheitsvorkehrungen
In Mozilla Firefox können durch einen Fehler in der Deklaration des Primary
Namespace von Chrome zugreifbaren CSS Stylesheets unter bestimmten Umständen
Chrome XBL Bindings von Webinhalten manipuliert werden. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle mit Hilfe einer
speziell präparierten Webseite ausnutzen, um Sicherheitsvorkehrungen zu
umgehen.
CVE-2014-1588: Multiple Speicherkorruptionsschwachstellen in Mozilla
Browser-Engine
Mehrere Speicherkorruptionsschwachstellen wurden in der Browser-Engine von
Mozilla Produkten wie Firefox gefunden. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstellen mit Hile einer
speziell präparierten Webseite ausnutzen, um die Anwendung abstürzen zu
lassen oder beliebigen Programmcode mit den Rechten des Benutzers der
Anwendung auszuführen.
CVE-2014-1587: Multiple Speicherkorruptionsschwachstellen in Mozilla
Browser-Engine
Mehrere Speicherkorruptionsschwachstellen wurden in der Browser-Engine von
Mozilla Produkten wie Firefox gefunden. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstellen mit Hile einer
speziell präparierten Webseite ausnutzen, um die Anwendung abstürzen zu
lassen oder beliebigen Programmcode mit den Rechten des Benutzers der
Anwendung auszuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1686/
Schwachstelle CVE-2014-1587 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1587
Schwachstelle CVE-2014-1588 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1588
Schwachstelle CVE-2014-1589 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1589
Schwachstelle CVE-2014-1590 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1590
Schwachstelle CVE-2014-1591 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1591
Schwachstelle CVE-2014-1592 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1592
Schwachstelle CVE-2014-1593 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1593
Schwachstelle CVE-2014-1594 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1594
openSUSE Security Update openSUSE-SU-2014:1656-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00069.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
