UPDATE: DFN-CERT-2017-0485 Mozilla Firefox, Firefox ESR, GNU IceCat: Eine Schwachstelle ermöglicht einen nicht spezifizierten Angriff [Linux][Fedora][RedHat][SuSE][Apple][Windows]

UPDATE: DFN-CERT-2017-0485 Mozilla Firefox, Firefox ESR, GNU IceCat: Eine Schwachstelle ermöglicht einen nicht spezifizierten Angriff [Linux][Fedora][RedHat][SuSE][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 6 (31.03.2017):
Für Fedora 24, 25 und 26 wird der Browser IceCat in der Version 52.0.1 als
Sicherheitsupdate zur Behebung der Schwachstelle CVE-2017-5428
bereitgestellt.
Version 5 (27.03.2017):
Für Fedora 26 steht ebenfalls ein Backport-Sicherheitsupdate im Status
‘testing’ bereit, das die kürzlich im Rahmen des Pwn2Own-Wettbewerbs
gefundene Schwachstelle CVE-2017-5428 in Mozilla Firefox behebt.
Version 4 (24.03.2017):
Für Fedora 24 und 25 stehen Backport-Sicherheitsupdates in Form der Pakete
‘firefox-52.0-6.fc24’ und ‘firefox-52.0-6.fc25’ im Status ‘testing’
bereit.
Version 3 (21.03.2017):
Canonical stellt für Ubuntu 16.10, Ubuntu 16.04 LTS, Ubuntu 14.04 LTS und
Ubuntu 12.04 LTS Mozilla Firefox in der Version 52.0.1 als
Sicherheitsupdate bereit.
Version 2 (21.03.2017):
Für openSUSE Leap 42.2 und openSUSE Leap 42.1 steht Mozilla Firefox in der
Version 52.0.1 als Sicherheitsupdate bereit.
Version 1 (20.03.2017):
Neues Advisory

Betroffene Software:

IceCat < 52.0.1 Mozilla Firefox < 52.0.1 Mozilla Firefox ESR < 52.0.1 Betroffene Plattformen: Apple Mac OS X macOS Sierra Canonical Ubuntu Linux 12.04 LTS Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 16.10 GNU/Linux Google Android Operating System Microsoft Windows openSUSE Leap 42.1 openSUSE Leap 42.2 Oracle Linux 7 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.3 TUS Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 In Mozilla Firefox und Firefox ESR existiert eine als 'kritisch' bewertete Schwachstelle, die es einem entfernten, nicht authentisierten Angreifer ermöglicht einen nicht näher spezifizierten Angriff durchführen. Die Ausführung beliebigen Programmcodes kann nicht ausgeschlossen werden, jedoch wird eine weitere Schwachstelle benötigt, um die Sandbox zu umgehen. Die Mozilla Foundation stellt den Browser Firefox sowie das Extended Support Release Firefox ESR in der Version 52.0.1 als Sicherheitsupdates zum Download bereit. Für Red Hat Enterprise Linux 7 in den Ausprägungen Desktop, Server und Workstation sowie für Red Hat Enterprise Linux Server TUS 7.3 stehen Sicherheitsupdates für Firefox bereit. Oracle stellt für Oracle Linux 7 (x86_64) die entsprechenden Sicherheitsupdates für den Firefox Browser zur Verfügung. Patch: Mozilla Foundation Security Advisory MFSA 2017-08 https://www.mozilla.org/en-US/security/advisories/mfsa2017-08/

Patch:

Oracle Linux Security Advisory ELSA-2017-0558

https://linux.oracle.com/errata/ELSA-2017-0558.html

Patch:

Red Hat Security Advisory RHSA-2017:0558

http://rhn.redhat.com/errata/RHSA-2017-0558.html

Patch:

Ubuntu Security Notice USN-3238-1

http://www.ubuntu.com/usn/usn-3238-1/

Patch:

openSUSE Security Update openSUSE-SU-2017:0765-1

http://lists.opensuse.org/opensuse-updates/2017-03/msg00070.html

Patch:

Fedora Security Update FEDORA-2017-9e1ccfe586 (Fedora 24, firefox-52.0-6)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-9e1ccfe586

Patch:

Fedora Security Update FEDORA-2017-cd33654294 (Fedora 25, firefox-52.0-6)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-cd33654294

Patch:

Fedora Security Update FEDORA-2017-b42b86201c (Fedora 26, firefox-52.0-6)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-b42b86201c

Patch:

Fedora Security Update FEDORA-2017-674d306f51 (Fedora 25, icecat-52.0.1-5)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-674d306f51

Patch:

Fedora Security Update FEDORA-2017-712a186f5f (Fedora 24, icecat-52.0.1-5)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-712a186f5f

Patch:

Fedora Security Update FEDORA-2017-8c567ee528 (Fedora 26, icecat-52.0.1-5)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-8c567ee528

CVE-2017-5428: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
u.a. Ausführung beliebigen Programmcodes

Eine Schwachstelle in der Funktion ‘createImageBitma0p’ von Mozilla Firefox
und Firefox ESR ermöglicht es einen Ganzzahlüberlauf (Integer Overflow) zu
provozieren. Da diese Funktion in der Sandbox ausgeführt wird, wird zur
aktiven Ausnutzung der Schwachstelle eine weitere Schwachstelle benötigt.
Die Ausnutzung der Schwachstelle ermöglicht einen Denial-of-Service-Angriff
und die Ausführung beliebigen Programmcodes.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0485/

Mozilla Firefox Update Seite:
https://www.mozilla.org/de/firefox/new/

Mozilla Foundation Security Advisory MFSA 2017-08:
https://www.mozilla.org/en-US/security/advisories/mfsa2017-08/

Oracle Linux Security Advisory ELSA-2017-0558:
https://linux.oracle.com/errata/ELSA-2017-0558.html

Red Hat Security Advisory RHSA-2017:0558:
http://rhn.redhat.com/errata/RHSA-2017-0558.html

Oracle Linux Security Advisory ELSA-2017-0558:
https://linux.oracle.com/errata/ELSA-2017-0558.html

Schwachstelle CVE-2017-5428 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5428

Ubuntu Security Notice USN-3238-1:
http://www.ubuntu.com/usn/usn-3238-1/

openSUSE Security Update openSUSE-SU-2017:0765-1:
http://lists.opensuse.org/opensuse-updates/2017-03/msg00070.html

Fedora Security Update FEDORA-2017-9e1ccfe586 (Fedora 24, firefox-52.0-6):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-9e1ccfe586

Fedora Security Update FEDORA-2017-cd33654294 (Fedora 25, firefox-52.0-6):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-cd33654294

Fedora Security Update FEDORA-2017-b42b86201c (Fedora 26, firefox-52.0-6):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-b42b86201c

Fedora Security Update FEDORA-2017-674d306f51 (Fedora 25, icecat-52.0.1-5):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-674d306f51

Fedora Security Update FEDORA-2017-712a186f5f (Fedora 24, icecat-52.0.1-5):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-712a186f5f

Fedora Security Update FEDORA-2017-8c567ee528 (Fedora 26, icecat-52.0.1-5):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-8c567ee528

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben