Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (15.01.2015):
Für die Distributionen Ubuntu 14.10, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS
stehen Sicherheitsupdates für Firefox zur Verfügung, ebenso für die
Ubuntu-spezifische Firefox-Konfiguration ubufox.
Version 2 (14.01.2015):
Korrektur
Version 1 (14.01.2015):
Neues Advisory
Betroffene Software:
Mozilla Firefox < 35 Mozilla Firefox ESR < 31.4 Mozilla SeaMonkey < 2.32 Mozilla Thunderbird < 31.4 Betroffene Plattformen: Apple Mac OS X Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 GNU/Linux Microsoft Windows Mehrere Schwachstellen in Mozilla Firefox, Firefox ESR, Seamonkey und Thunderbird ermöglichen in vielen Fällen einem entfernten, nicht authentifizierten Angreifer, beliebigen Programmcode mit den Rechten des Benutzers zur Ausführung zu bringen oder einen Denial-of-Service-Zustand zu bewirken. Andere Schwachstellen ermöglichen entweder das Ausspähen von Informationen oder das Umgehen von Sicherheitsvorkehrungen. Patch: Mozilla Foundation Security Advisory MFSA 2015-01 https://www.mozilla.org/en-US/security/advisories/mfsa2015-01/
Patch:
Mozilla Foundation Security Advisory MFSA 2015-02
https://www.mozilla.org/en-US/security/advisories/mfsa2015-02/
Patch:
Mozilla Foundation Security Advisory MFSA 2015-03
https://www.mozilla.org/en-US/security/advisories/mfsa2015-03/
Patch:
Mozilla Foundation Security Advisory MFSA 2015-04
https://www.mozilla.org/en-US/security/advisories/mfsa2015-04/
Patch:
Mozilla Foundation Security Advisory MFSA 2015-05
https://www.mozilla.org/en-US/security/advisories/mfsa2015-05/
Patch:
Mozilla Foundation Security Advisory MFSA 2015-06
https://www.mozilla.org/en-US/security/advisories/mfsa2015-06/
Patch:
Mozilla Foundation Security Advisory MFSA 2015-07
https://www.mozilla.org/en-US/security/advisories/mfsa2015-07/
Patch:
Mozilla Foundation Security Advisory MFSA 2015-08
https://www.mozilla.org/en-US/security/advisories/mfsa2015-08/
Patch:
Mozilla Foundation Security Advisory MFSA 2015-09
https://www.mozilla.org/en-US/security/advisories/mfsa2015-09/
Patch:
Ubuntu Security Notice USN-2458-1
http://www.ubuntu.com/usn/usn-2458-1/
Patch:
Ubuntu Security Notice USN-2458-2
http://www.ubuntu.com/usn/usn-2458-2/
CVE-2014-8643: Schwachstelle in Gecko Media Plugin ermöglicht das Umgehen
von Sicherheitsmaßnahmen
Eine Schwachstelle bei der Wiedergabe von h.264 Videos durch das Gecko Media
Plugin ermöglicht, durch nicht näher beschrieben Aktionen, das Ausbrechen
aus der Gecko Media Plugin Sandbox. Ein entfernter, nicht authentifizierter
Angreifer kann durch das Ausnutzen der Schwachstelle Sicherheitsmaßnahmen
umgehen. Die Schwachstelle betrifft nur die Windows Version des Gecko Media
Plugin.
CVE-2014-8642: Schwachstelle in Firefox und Seamonkey ermöglicht das Umgehen
von Sicherheitvorkehrungen
Eine Schwachstelle in Firefox / Seamonkey führt dazu, dass die Erweiterung
‘id-pkix-ocsp-nocheck’ bei der Entscheidung, ob einem OCSP-Responder
vertraut wird, nicht berücksichtigt wird. Dadurch ist es möglich, dass auch
ein zurückgezogenes Zertifikat akzeptiert wird. Ein entfernter, nicht
authentifizierter Angreifer kann Sicherheitsmaßnahmen umgehen.
CVE-2014-8641: Use-after-free-Schwachstelle in WebRTC-Implementierung
erlaubt Ausführen beliebigen Programmcodes
Eine Use-after-free-Schwachstelle in WebRTC-Implementierung in Mozilla
Firefox bevor 35.0, Firefox ESR 31.x bevor 31.4 und SeaMonkey bevor 2.32
besteht aufgrund der Art und Weise, wie Tracks behandelt werden. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, mittels präparierter Track-Daten, um beliebigen Programmcode zur
Ausführung zu bringen.
CVE-2014-8640: Schwachstelle in der Web Audio API-Implementierung erlaubt
Denial-of-Service
Die Funktion “mozilla::dom::AudioParamTimeline::AudioNodeInputValue” in der
Implementierung der Web Audio API in Mozilla Firefox bevor 35.0 und
SeaMonkey bevor 2.32 beschränkt Timeline-Operationen nicht korrekt. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, mittels eines präparierten API-Aufrufs, um einen
Denial-of-Service-Zustand (“uninitialized-memory read” und Absturz der
Applikation) herbeizuführen.
CVE-2014-8639: Schwachstelle in Mozilla-Anwendungen erlaubt Manipulation von
Daten
Mozilla Firefox bevor 35.0, Firefox ESR 31.x bevor 31.4, Thunderbird bevor
31.4 und SeaMonkey bevor 2.32 interpretieren Set-Cookie-Header innnerhalb
von HTTP-Antworten, die einen 407 Status Code enthalten (“Proxy
Authentication Required”), nicht korrekt. Ein entfernter, nicht
authentifizierter Angreifer, der einen HTTP Proxy-Server kontrolliert, kann
mittels einer solchen 407 Proxy Authentication-Antwort Cookies in die
ursprünglich angefragte Domain einschleusen, wodurch eine Session fixiert
werden kann (“session-fixation attack”).
CVE-2014-8638: Schwachstelle in der navigator.sendBeacon-Implementierung
erlaubt Cross-site-Request-Forgery (CSRF)
Die Implementierung von “navigator.sendBeacon()” in Mozilla Firefox bevor
35.0, Firefox ESR 31.x bevor 31.4, Thunderbird bevor 31.4 und SeaMonkey
bevor 2.32 übergeht den Cross-origin Resource Sharing (CORS) Header. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, mittels einer präparierten Webseite, um die beabsichtigten
CORS-Zugriffskontrollen zu umgehen und Cross-site-Request-Forgery
(CSRF)-Angriffe gegen Benutzer durchzuführen.
CVE-2014-8637: Schwachstelle in Firefox und Seamonkey erlaubt Ausspähen von
Infomationen
Mozilla Firefox bevor 35.0 und SeaMonkey bevor 2.32 initialisieren den
Speicher für BMP-Bilder nicht korrekt, wenn ein schädlich geformtes
Bitmap-Bild durch den Bitmap-Decoder innerhalb eines CANVAS-Elements
gerendert wird. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, mittels eines präparierten BMP-Bildes in einer
Webseite, um sensible Informationen aus dem Prozessspeicher auszulesen.
CVE-2014-8636: Schwachstelle in der XrayWrapper-Implementierung erlaubt
Ausführen beliebigen Programmcodes
Die XrayWrapper-Implementierung in Mozilla Firefox bevor 35.0 und SeaMonkey
bevor 2.32 interagiert nicht korrekt mit Document Object Model
(DOM)-Objekten, die einen “named getter” haben. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, mittels
präparierter Webinhalte, um einen XrayWrapper zu umgehen und beliebigen
JavaScript-Code mit Chrome-Privilegien ausführen zu lassen.
CVE-2014-8635: Schwachstellen in der Browser-Engine erlauben
Denial-of-Service
Mehrere nicht näher spezifizierte Schwachstellen in der Browser-Engine in
Mozilla Firefox bevor 35.0, Firefox ESR 31.x bevor 31.4 und SeaMonkey bevor
2.32 beeinträchten die Speichersicherheit. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um einen
Denial-of-Service-Zustand (Speicherkorruption und Absturz der Applikation)
herbeizuführen oder möglicherweise beliebigen Programmcode zur Ausführung zu
bringen.
CVE-2014-8634: Schwachstellen in der Browser-Engine erlauben
Denial-of-Service
Mehrere nicht näher spezifizierte Schwachstellen in der Browser-Engine in
Mozilla Firefox bevor 35.0, Firefox ESR 31.x bevor 31.4, Thunderbird bevor
31.4 und SeaMonkey bevor 2.32 beeinträchten die Speichersicherheit. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen
ausnutzen, um einen Denial-of-Service-Zustand (Speicherkorruption und
Absturz der Applikation) herbeizuführen oder möglicherweise beliebigen
Programmcode zur Ausführung zu bringen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0043/
Mozilla Foundation Security Advisory MFSA 2015-01:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-01/
Mozilla Foundation Security Advisory MFSA 2015-02:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-02/
Mozilla Foundation Security Advisory MFSA 2015-03:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-03/
Mozilla Foundation Security Advisory MFSA 2015-04:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-04/
Mozilla Foundation Security Advisory MFSA 2015-05:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-05/
Mozilla Foundation Security Advisory MFSA 2015-06:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-06/
Mozilla Foundation Security Advisory MFSA 2015-07:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-07/
Mozilla Foundation Security Advisory MFSA 2015-08:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-08/
Mozilla Foundation Security Advisory MFSA 2015-09:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-09/
Schwachstelle CVE-2014-8634 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8634
Schwachstelle CVE-2014-8635 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8635
Schwachstelle CVE-2014-8636 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8636
Schwachstelle CVE-2014-8637 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8637
Schwachstelle CVE-2014-8638 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8638
Schwachstelle CVE-2014-8639 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8639
Schwachstelle CVE-2014-8640 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8640
Schwachstelle CVE-2014-8641 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8641
Schwachstelle CVE-2014-8642 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8642
Schwachstelle CVE-2014-8643 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8643
Ubuntu Security Notice USN-2458-1:
http://www.ubuntu.com/usn/usn-2458-1/
Ubuntu Security Notice USN-2458-2:
http://www.ubuntu.com/usn/usn-2458-2/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
