Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (21.03.2017):
Canonical stellt für Ubuntu 16.10, Ubuntu 16.04 LTS, Ubuntu 14.04 LTS und
Ubuntu 12.04 LTS Mozilla Firefox in der Version 52.0.1 als
Sicherheitsupdate bereit.
Version 2 (21.03.2017):
Für openSUSE Leap 42.2 und openSUSE Leap 42.1 steht Mozilla Firefox in der
Version 52.0.1 als Sicherheitsupdate bereit.
Version 1 (20.03.2017):
Neues Advisory
Betroffene Software:
Mozilla Firefox < 52.0.1 Mozilla Firefox ESR < 52.0.1 Betroffene Plattformen: Apple Mac OS X macOS Sierra Canonical Ubuntu Linux 12.04 LTS Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 16.10 GNU/Linux Google Android Operating System Microsoft Windows openSUSE Leap 42.1 openSUSE Leap 42.2 Oracle Linux 7 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.3 TUS Red Hat Enterprise Linux Workstation 7 In Mozilla Firefox und Firefox ESR existiert eine als 'kritisch' bewertete Schwachstelle, die es einem entfernten, nicht authentisierten Angreifer ermöglicht einen nicht näher spezifizierten Angriff durchführen. Die Ausführung beliebigen Programmcodes kann nicht ausgeschlossen werden, jedoch wird eine weitere Schwachstelle benötigt, um die Sandbox zu umgehen. Die Mozilla Foundation stellt den Browser Firefox sowie das Extended Support Release Firefox ESR in der Version 52.0.1 als Sicherheitsupdates zum Download bereit. Für Red Hat Enterprise Linux 7 in den Ausprägungen Desktop, Server und Workstation sowie für Red Hat Enterprise Linux Server TUS 7.3 stehen Sicherheitsupdates für Firefox bereit. Oracle stellt für Oracle Linux 7 (x86_64) die entsprechenden Sicherheitsupdates für den Firefox Browser zur Verfügung. Patch: Mozilla Foundation Security Advisory MFSA 2017-08 https://www.mozilla.org/en-US/security/advisories/mfsa2017-08/
Patch:
Oracle Linux Security Advisory ELSA-2017-0558
https://linux.oracle.com/errata/ELSA-2017-0558.html
Patch:
Red Hat Security Advisory RHSA-2017:0558
http://rhn.redhat.com/errata/RHSA-2017-0558.html
Patch:
Ubuntu Security Notice USN-3238-1
http://www.ubuntu.com/usn/usn-3238-1/
Patch:
openSUSE Security Update openSUSE-SU-2017:0765-1
http://lists.opensuse.org/opensuse-updates/2017-03/msg00070.html
CVE-2017-5428: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
nicht näher spezifizierten Angriff
Eine nicht näher beschriebene Schwachstelle in der Funktion
‘createImageBitmap()’ von Mozilla Firefox und Firefox ESR ermöglicht es
einen Ganzzahlüberlauf (Integer Overflow) zu provozieren und diesen für
einen nicht näher spezifizierten Angriff auszunutzen. Da diese Funktion in
der Sandbox ausgeführt wird, wird zur aktiven Ausnutzung der Schwachstelle
eine weitere Schwachstelle benötigt.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0485/
Mozilla Firefox Update Seite:
https://www.mozilla.org/de/firefox/new/
Mozilla Foundation Security Advisory MFSA 2017-08:
https://www.mozilla.org/en-US/security/advisories/mfsa2017-08/
Oracle Linux Security Advisory ELSA-2017-0558:
https://linux.oracle.com/errata/ELSA-2017-0558.html
Red Hat Security Advisory RHSA-2017:0558:
http://rhn.redhat.com/errata/RHSA-2017-0558.html
Oracle Linux Security Advisory ELSA-2017-0558:
https://linux.oracle.com/errata/ELSA-2017-0558.html
Schwachstelle CVE-2017-5428 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5428
Ubuntu Security Notice USN-3238-1:
http://www.ubuntu.com/usn/usn-3238-1/
openSUSE Security Update openSUSE-SU-2017:0765-1:
http://lists.opensuse.org/opensuse-updates/2017-03/msg00070.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
