Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Mozilla Firefox <= 44.0.1 Mozilla Firefox ESR <= 38.6 Betroffene Plattformen: Apple Mac OS X Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 15.10 GNU/Linux Google Android Operating System Microsoft Windows Red Hat Fedora 22 Red Hat Fedora 23 Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle in Firefox vor Version 44.0.2 ausnutzen, um Sicherheitsvorkehrungen zu umgehen und Cross-Site-Scripting-Angriffe durchzuführen. In Firefox ESR vor Version 38.6.1 erlaubt eine andere Schwachstelle einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes. Mozilla informiert über die Schwachstelle in der jeweiligen Version und stellt Firefox 44.0.2 und Firefox ESR 38.6.1 als Sicherheitsupdates bereit. Für die Distributionen Fedora 22 und 23 stehen mit den Paketen firefox-44.0.2-3.fc22 und firefox-44.0.2-3.fc23 Sicherheitsupdates im Status 'pending' zur Verfügung. Canonical veröffentlicht für Ubuntu 12.04 LTS, 14.04 LTS und 15.10 ebenfalls Sicherheitsupdates auf die Firefox Version 44.0.2. Patch: Fedora Security Update FEDORA-2016-1d8f67dc76 (Fedora 23) https://bodhi.fedoraproject.org/updates/FEDORA-2016-1d8f67dc76
Patch:
Fedora Security Update FEDORA-2016-8794abe899 (Fedora 22)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-8794abe899
Patch:
Mozilla Foundation Security Advisory MFSA 2016-13
https://www.mozilla.org/en-US/security/advisories/mfsa2016-13/
Patch:
Mozilla Foundation Security Advisory MFSA 2016-14
https://www.mozilla.org/en-US/security/advisories/mfsa2016-14/
Patch:
Ubuntu Security Notice USN-2893-1
http://www.ubuntu.com/usn/usn-2893-1/
CVE-2016-1949: Schwachstelle in Mozilla Firefox ermöglicht das Umgehen von
Sicherheitsvorkehrungen
Service-Prozesse (Service Workers) in Mozilla Firefox ermöglichen die
Ausführung von Skripten im Hintergrund, die durch Ereignisse (Events)
ausgelöst werden. Sie können Antworten auf Plugin-Anfragen abfangen und
fälschen, wodurch die ‘Same Origin’-Policy umgangen werden kann. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe eines Plugins
Inhalte in eine Anfrage einfügen, auch wenn Protokoll, Port oder Host nicht
mit der ursprünglichen Anfrage identisch sind, dadurch
Sicherheitsvorkehrungen umgehen und einen Cross-Site-Scripting-Angriff
ausführen.
CVE-2016-1523: Schwachstelle in Graphite2 ermöglicht Ausführung beliebigen
Programmcodes
Über eine speziell präparierte Schriftart im Kontext von Graphite2 in der
Version 1.2.4, welches u.a. in Firefox ESR vor Version 38.6.1 eingesetzt
wird, können interne Anweisungsparameter übergangen werden. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
beliebigen Programmcode ausführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0260/
Mozilla Firefox Update Seite:
https://www.mozilla.org/de/firefox/new/
Schwachstelle CVE-2016-1523 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1523
Fedora Security Update FEDORA-2016-1d8f67dc76 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-1d8f67dc76
Fedora Security Update FEDORA-2016-8794abe899 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-8794abe899
Mozilla Foundation Security Advisory MFSA 2016-13:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-13/
Mozilla Foundation Security Advisory MFSA 2016-14:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-14/
Ubuntu Security Notice USN-2893-1:
http://www.ubuntu.com/usn/usn-2893-1/
Schwachstelle CVE-2016-1949 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1949
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
