Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (21.08.2017):
Mozilla hat nun ein offizielles Advisory veröffentlicht, in welchem über
die in Thunderbird 52.3 behobenen Schwachstellen informiert wird. Mozilla
stuft dieses Sicherheitsupdate trotz der zuvor genannten Einschränkungen
als kritisch ein.
Version 1 (18.08.2017):
Neues Advisory
Betroffene Software:
Mozilla Thunderbird < 52.3 Betroffene Plattformen: Apple Mac OS X macOS Sierra GNU/Linux Microsoft Windows openSUSE Leap 42.2 openSUSE Leap 42.3 Mehrere Schwachstellen in Mozilla Thunderbird ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, die Darstellung falscher Informationen und verschiedener Denial-of-Service (DoS)-Angriffe. Generell können diese Schwachstellen nicht über E-Mails in Thunderbird ausgenutzt werden, da 'Scripting' beim Lesen von E-Mails deaktiviert ist. Es handelt sich aber um potentielle Risiken in Browsern oder Browser-ähnlichen Kontexten. Mozilla stellt die Thunderbird Version 52.3 als Sicherheitsupdate zur Behebung der Schwachstellen bereit, hat aber bislang noch kein entsprechendes Advisory veröffentlicht. openSUSE stellt für die Distributionen openSUSE Leap 42.2 und openSUSE Leap 42.2 Sicherheitsupdates für Mozilla Thunderbird auf Version 52.3 zur Behebung der Schwachstellen bereit. Patch: Mozilla Thunderbird Update Seite https://www.mozilla.org/de/thunderbird
Patch:
openSUSE Security Update openSUSE-SU-2017:2209-1
http://lists.opensuse.org/opensuse-updates/2017-08/msg00083.html
Patch:
Mozilla Foundation Security Advisory MFSA 2017-20
https://www.mozilla.org/en-US/security/advisories/mfsa2017-20/
CVE-2017-7807: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Darstellung falscher Informationen
In Mozilla Firefox und Firefox ESR existiert eine Schwachstelle, wodurch
AppCache zum Entführen (Hijacking) einer URL innerhalb einer Domäne
verwendet werden kann, indem über ein Fallback-Mechanismus die
bereitgestellten Dateien aus einem beliebigen Unterverzeichnis der Domäne
geladen werden können. Ein entfernter, nicht authentisierter Angreifer kann
eine URL übernehmen (Hijacking) und dadurch falsche Informationen
darstellen.
CVE-2017-7804: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Umgehen von Sicherheitsvorkehrungen
In Mozilla Firefox und Firefox ESR besteht eine Schwachstelle, wodurch die
Destruktor-Funktion der ‘WindowsDllDetourPatcher’-Klasse durch bösartigen
Programmcode wiederverwendet werden kann, um bestehende
Speicherschutzvorkehrungen zu umgehen. Ein entfernter, nicht authentisierter
Angreifer kann dadurch beliebige Daten in einen von ihm kontrollierten
Speicherbereich schreiben.
CVE-2017-7803: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Umgehen von Sicherheitsvorkehrungen
Mozilla Firefox und Firefox ESR enthalten eine Schwachstelle, wenn die
Content Security Policy (CSP) Kopfdatei eine Direktive für die Sandbox
enthält. Dies führt dazu, dass andere Direktiven ignoriert werden, wodurch
die CSP-Richtlinien fehlerhaft durchgesetzt werden. Ein entfernter, nicht
authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen.
CVE-2017-7802: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff
In Mozilla Firefox und Firefox ESR existiert eine
Use-after-Free-Schwachstelle, wenn bei einer Größenänderung (Resize Event)
eines Bildelements das Document Object Model (DOM) manipuliert wird und die
entsprechenden Elemente aufgrund einer mangelhaften Referenzbindung (Lack of
Strong References) vor einem Zugriff freigegeben wurden. Ein entfernter,
nicht authentisierter Angreifer kann dies ausnutzen und einen Absturz der
Anwendung provozieren (Denial-of-Service, DoS), der sich möglicherweise auch
zur Ausführung beliebigen Programmcodes ausnutzen lässt.
CVE-2017-7801: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff
In Mozilla Firefox und Firefox ESR existiert eine
Use-after-Free-Schwachstelle, die bei der Neuberechnung eines Layouts für
ein ‘marquee’-Element während der Änderung der Fenstergröße auftreten kann.
Hierbei ist es möglich, das ‘Style’-Objekt freizugeben, obwohl es noch in
Benutzung ist. Ein entfernter, nicht authentisierter Angreifer kann dies
ausnutzen und einen Absturz der Anwendung provozieren (Denial-of-Service,
DoS). Dieser Absturz lässt sich möglicherweise zur Ausführung beliebigen
Programmcodes ausnutzen.
CVE-2017-7800: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff
In Mozilla Firefox und Firefox ESR existiert eine
Use-after-free-Schwachstelle in den WebSockets, wodurch Verbindungsobjekte
freigegeben werden können, bevor die dazugehörigen Verbindung erfolgreich
beendet wurde. Ein entfernter, nicht authentisierter Angreifer kann dies
ausnutzen und einen Absturz der Anwendung provozieren (Denial-of-Service,
DoS), der sich möglicherweise für weitere Angriffe ausnutzen lässt
(exploitable Crash).
CVE-2017-7798: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Ausführung beliebigen Programmcodes
Aufgrund der unzureichenden Bereinigung von Webseiten-Quellcode, welches
durch das Entwicklerwerkzeug ‘Style Editor’ geladen wird, existiert eine
Schwachstelle in Mozilla Firefox und Firefox ESR. Diese ermöglicht es einem
entfernten, nicht authentisierten Angreifer, wenn es ihm gelingt einen
Benutzer zu verleiten eine präparierte Webseite zu im ‘Style Editor’ zu
laden, bösartige Inhalte über präparierte XUL-Elemente zu injizieren und
dadurch im schlimmsten Fall beliebigen Programmcode zur Ausführung zu
bringen.
CVE-2017-7792: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff
In Mozilla Firefox und Firefox ESR besteht eine Schwachstelle, durch die bei
der Betrachtung von Zertifikaten im Zertifikatsmanager ein
Pufferspeicherüberlauf auftreten kann, wenn das Zertifikat einen sehr
(extremely) großen Objekt-Identifikator (OID) besitzt. Ein entfernter, nicht
authentisierter Angreifer kann dies ausnutzen und einen Absturz der
Anwendung provozieren (Denial-of-Service, DoS), der sich möglicherweise für
die Ausführung beliebigen Programmcodes ausnutzen lässt.
CVE-2017-7791: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Darstellen falscher Informationen
In Mozilla Firefox und Firefox ESR besteht eine Schwachstelle, durch die auf
Seiten, die einen iFrame enthalten, das ‘data:’-Protokoll ausgenutzt werden
kann, um einen Modal-Alarm zu erstellen. Dieser wird über beliebige Domänen
hinweg dargestellt und verschleiert dadurch den Ursprung des Alarms. Ein
entfernter, nicht authentisierter Angreifer kann falsche Informationen
darstellen.
CVE-2017-7787: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Umgehen von Sicherheitsvorkehrungen und Ausspähen von
Informationen
In Mozilla Firefox und Firefox ESR existiert eine Schwachstelle bei der
Anwendung der Same-Origin-Richtlinien auf Seiten mit eingebetteten iFrames,
wenn die Hauptseite neu geladen wird. Dadurch ist es dem iFrame möglich, auf
Inhalte der Hauptseite (Top-Level Page) zuzugreifen. Ein entfernter, nicht
authentisierter Angreifer kann dadurch die Same-Origin-Richtlinien umgehen
und Informationen ausspähen.
CVE-2017-7786: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff
In der Komponente zur Darstellung von Bildern (Image Renderer) in Mozilla
Firefox und Firefox ESR existiert eine Schwachstelle, durch die ein
Pufferüberlauf auftreten kann, wenn der Renderer versucht, nicht
darstellbare SVG-Elemente zu zeichnen. Ein entfernter, nicht authentisierter
Angreifer kann dies ausnutzen und einen Absturz der Anwendung provozieren
(Denial-of-Service, DoS), der sich möglicherweise zur Ausführung beliebigen
Progammcodes ausnutzen lässt.
CVE-2017-7785: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglichen Denial-of-Service-Angriff
Bei der Manipulation von Accessible Rich Internet Applications (ARIA)
innerhalb des Document Object Model (DOM) in Mozilla Firefox und Frefox ESR
existiert eine Schwachstelle, wodurch der Pufferspeicher zum Überlauf
gebracht werden kann und die Anwendung abstürzt (Denial-of-Service, DoS).
Dieser Absturz lässt sich möglicherweise zur Ausführung beliebigen
Programmcodes ausnutzen.
CVE-2017-7784: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff
In Mozilla Firefox und Firefox ESR existiert eine
Use-after-Free-Schwachstelle, wenn bei der Rekonstruktion eines Rahmens
(Frame) versucht wird, einen Bildbetrachter (Image Observer) zu lesen,
dieser aber bereits freigegeben wurde. Ein entfernter, nicht authentisierter
Angreifer kann dies ausnutzen und einen Absturz der Anwendung provozieren
(Denial-of-Service, DoS). Der Absturz lässt sich möglicherweise zur
Ausführung beliebigen Programmcodes ausnutzen.
CVE-2017-7782: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Umgehen von Sicherheitsvorkehrungen
In ‘WindowsDllDetourPatcher’ in Mozilla Firefox und Firefox ESR besteht
aufgrund eines Fehlers eine Schwachstelle, weil ein 4 Kilobyte großer
RWX-Speicherblock (Read/Write/Execute) ohne die vorgeschriebene Data
Execution Prevention (DEP) alloziert wird. Ein entfernter, nicht
authentisierter Angreifer kann die Data Execution Prevention umgehen und
durch Ausnutzung einer weiteren Schwachstelle beliebigen Programmcode zur
Ausführung bringen.
CVE-2017-7779: Schwachstellen in Mozilla Firefox, Firefox ESR und
Thunderbird ermöglichen Ausführung beliebigen Programmcodes
Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla
Firefox und Firefox ESR, die zu Speicherfehlern führen können (Memory Safety
Bugs). Dazu können beispielsweise Pufferüberläufe, Fehler bei der
dynamischen Speicherverwaltung, nicht initialisierte Variablen und die
Erschöpfung von Speicher gehören. Der Hersteller geht davon aus, dass einige
der Schwachstellen von einem entfernten, nicht authentifizierten Angreifer
für die Ausführung beliebigen Programmcodes ausgenutzt werden können.
CVE-2017-7753: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird
ermöglicht Denial-of-Service-Angriff
Bei der Anwendung von Stilregeln (Style Rules), wie beispielsweise
‘::first-line’, für Pseudoelemente in Mozilla Firefox und Firefox ESR kann
es zu einem Lesezugriff außerhalb der zulässigen Speichergrenzen kommen,
wenn Stildaten aus dem Zwischenspeicher verwendet werden. Ein entfernter,
nicht authentisierter Angreifer kann dies ausnutzen und einen Absturz der
Anwendung provozieren (Denial-of-Service, DoS).
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1476/
Mozilla Thunderbird Update Seite:
https://www.mozilla.org/de/thunderbird
Schwachstelle CVE-2017-7753 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7753
Schwachstelle CVE-2017-7779 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7779
Schwachstelle CVE-2017-7782 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7782
Schwachstelle CVE-2017-7784 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7784
Schwachstelle CVE-2017-7785 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7785
Schwachstelle CVE-2017-7786 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7786
Schwachstelle CVE-2017-7787 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7787
Schwachstelle CVE-2017-7791 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7791
Schwachstelle CVE-2017-7792 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7792
Schwachstelle CVE-2017-7798 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7798
Schwachstelle CVE-2017-7800 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7800
Schwachstelle CVE-2017-7801 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7801
Schwachstelle CVE-2017-7802 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7802
Schwachstelle CVE-2017-7803 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7803
Schwachstelle CVE-2017-7804 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7804
Schwachstelle CVE-2017-7807 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7807
openSUSE Security Update openSUSE-SU-2017:2209-1:
http://lists.opensuse.org/opensuse-updates/2017-08/msg00083.html
Mozilla Foundation Security Advisory MFSA 2017-20:
https://www.mozilla.org/en-US/security/advisories/mfsa2017-20/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
