DFN-CERT-2015-1474 Mozilla Firefox ESR: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][RedHat]

DFN-CERT-2015-1474 Mozilla Firefox ESR: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Mozilla Firefox ESR <= 38.2.1 Betroffene Plattformen: Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Mehrere Schwachstellen in Mozilla Firefox ESR vor Version 38.3.0 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes mit Benutzerrechten oder die Durchführung von Denial-of-Service-Angriffen. Für Red Hat Enterprise Linux Server 5, 6 und 7, Desktop 5 (client), 6 und 7, HPC Node 6 sowie Workstation 6 und 7 stehen Sicherheitsupdates bereit. Patch: Red Hat Security Advisory RHSA-2015:1834 http://rhn.redhat.com/errata/RHSA-2015-1834.html

CVE-2015-4500: Schwachstelle in Mozilla Produkten ermöglicht das Ausführen
beliebigen Programmcodes

In der Mozilla Browser Engine und anderen Mozilla-basierten Produkten
existiert eine Schwachstelle, durch die eine Speicherkorruption verursacht
werden kann. Ein entfernter, nicht authentifizierter Angreifer kann das
ausnutzen, um das System zum Absturz oder beliebigen Programmcode zur
Ausführung zu bringen.

CVE-2015-4510: Use-after-free-Schwachstelle in Mozilla Firefox ermöglicht
Denial-of-Service-Angriffe

Es existiert eine nicht näher beschriebene Use-after-free-Schwachstelle in
Mozilla Firefox, bei der Verwendung von SharedWorker im Zusammenhang mit
IndexedDB, wodurch es zu einer Race-Condition mit dem Worker kommen kann.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen und einen Benutzer auf eine speziell präparierte Webseite locken,
wodurch er in der Lage ist einen Denial-of-Service-Angriff durchzuführen.

CVE-2015-4509: Use-after-free-Schwachstelle in Mozilla Firefox ermöglicht
Denial-of-Service-Angriff

Bei der Verarbeitung von HTML-Inhalten in Mozilla Firefox besteht eine
Use-after-free-Schwachstelle. Falls es einem entfernten, nicht
authentifizierten Angreifer gelingt, einen Nutzer auf eine von ihm
kontrollierte Webseite zu locken, ist es ihm möglich die Applikation zum
Absturz zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1474/

Red Hat Security Advisory RHSA-2015:1834:
http://rhn.redhat.com/errata/RHSA-2015-1834.html

Schwachstelle CVE-2015-4500 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4500

Schwachstelle CVE-2015-4509 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4509

Schwachstelle CVE-2015-4510 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4510

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben