DFN-CERT-2015-0388 Mozilla Firefox (ESR), SeaMonkey, Debian Iceweasel: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen und Ausführen beliebigen Programmcodes [Linux][Debian][Windows]

DFN-CERT-2015-0388 Mozilla Firefox (ESR), SeaMonkey, Debian Iceweasel: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen und Ausführen beliebigen Programmcodes [Linux][Debian][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Debian Iceweasel < 31.5.3 ESR Mozilla Firefox < 36.0.4 Mozilla Firefox ESR < 31.5.3 Mozilla SeaMonkey < 2.33.1 Betroffene Plattformen: Apple Mac OS X Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Debian Linux 7.7 Wheezy GNU/Linux Microsoft Windows Durch Ausnutzen dieser Schwachstellen kann ein entfernter, nicht authentisierter Angreifer Sicherheitsvorkehrungen umgehen und beliebigen Programmcode zur Ausführung bringen. Mozilla behebt diese Schwachstellen durch die Sicherheitsupdates Firefox 36.0.4, Firefox ESR 31.5.3 und SeaMonkey 2.33.1. Für die stabile Distribution Debian Wheezy (7.7) wurde Iceweasel ebenfalls auf Version 31.5.3 aktualisiert und für Ubuntu 14.10, 14.04 LTS und 12.04 LTS wurde Firefox auf Version 36.0.4 aktualisiert, um diese Schwachstellen zu beheben. Patch: Debian Security Advisory DSA-3201-1 https://www.debian.org/security/2015/dsa-3201

Patch:

Mozilla Security Advisory MFSA 2015-28

https://www.mozilla.org/en-US/security/advisories/mfsa2015-28/

Patch:

Mozilla Security Advisory MFSA 2015-29

https://www.mozilla.org/en-US/security/advisories/mfsa2015-29/

Patch:

Ubuntu Security Notice USN-2538-1

http://www.ubuntu.com/usn/usn-2538-1/

CVE-2015-0818: Schwachstelle in SVG Navigation erlaubt Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in der SVG-Navigation besteht bei der Verarbeitung von
SVG-Formatinhalten. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um die Same-Origin-Sicherheitsrichtlinie zu
umgehen, wodurch er beliebige Skripte in einem privilegierten Kontext
ausführen kann. Diese Schwachstelle wurde in Firefox 36.0.3 und Firefox ESR
31.5.2 nur unzureichend behoben.

CVE-2015-0817: Schwachstelle in JIT erlaubt Ausführen beliebigen
Programmcodes

Eine Schwachstelle besteht in Mozillas Implementierung der
Begrenzungsüberprüfung für typisierte Felder in der JavaScript
Just-in-Time-Kompilierung (JIT) und bei der Verwaltung von
Begrenzungsüberprüfungen für Heap-Speicherzugriffe. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um Speicher zu
lesen und zu schreiben, wodurch er beliebigen Programmcode auf dem lokalen
System zur Ausführung zu bringen kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0388/

Debian Security Advisory DSA-3201-1:
https://www.debian.org/security/2015/dsa-3201

Mozilla Security Advisory MFSA 2015-28:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-28/

Mozilla Security Advisory MFSA 2015-29:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-29/

Ubuntu Security Notice USN-2538-1:
http://www.ubuntu.com/usn/usn-2538-1/

Schwachstelle CVE-2015-0817 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0817

Schwachstelle CVE-2015-0818 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0818

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben