UPDATE: DFN-CERT-2016-1952 Mozilla Firefox: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Apple][Windows]

UPDATE: DFN-CERT-2016-1952 Mozilla Firefox: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (01.12.2016):
Canonical stellt für die Distributionen Ubuntu 16.10, Ubuntu 16.04 LTS,
Ubuntu 14.04 LTS und Ubuntu 12.04 LTS Mozilla Firefox in der Version
50.0.2 als Sicherheitsupdate bereit, womit gleichzeitig die
Zero-Day-Schwachstelle CVE-2016-9079 behoben wird (siehe gesondertes
Advisory).
Version 1 (29.11.2016):
Neues Advisory

Betroffene Software:

Mozilla Firefox >= 49
Mozilla Firefox < 50.0.1 Betroffene Plattformen: Apple Mac OS X macOS Sierra Canonical Ubuntu Linux 12.04 LTS Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 16.10 GNU/Linux Google Android Operating System Microsoft Windows Eine Schwachstelle in Mozilla Firefox ermöglicht es einem entfernten, nicht authentisierten Angreifer die Same-Origin-Policy einer Domäne zu umgehen und unerlaubt Ressourcen von außerhalb der Domäne nachzuladen. Der Hersteller klassifiziert das von der Schwachstelle ausgehende Schadenspotential als 'sehr hoch' und stellt die Version 50.0.1 als Sicherheitsupdate bereit. Patch: Mozilla Foundation Security Advisory MFSA 2016-91 (Firefox 50.0.1) https://www.mozilla.org/en-US/security/advisories/mfsa2016-91/

Patch:

Ubuntu Security Notice USN-3140-1

http://www.ubuntu.com/usn/usn-3140-1/

CVE-2016-9078: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen

Unter bestimmten, nicht näher beschriebenen Umständen kann es vorkommen,
dass beim Weiterleiten einer HTTP-Verbindung zu einer data:URL letztere als
die Ursprungsadresse angenommen wird, wodurch die Same-Origin verletzt wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1952/

Mozilla Firefox Update Seite:
https://www.mozilla.org/de/firefox/new/

Mozilla Foundation Security Advisory MFSA 2016-91 (Firefox 50.0.1) :
https://www.mozilla.org/en-US/security/advisories/mfsa2016-91/

Mozilla Firefox 50.0.1 Hinweise zur Veröffentlichung:
https://www.mozilla.org/en-US/firefox/50.0.1/releasenotes/

Schwachstelle CVE-2016-9078 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9078

Ubuntu Security Notice USN-3140-1:
http://www.ubuntu.com/usn/usn-3140-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben