Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (11.12.2017):
Debian stellt für die Distributionen Jessie (oldstable) 8.10 und Stretch
(stable) 9.3 Sicherheitsupdates für Firefox auf die ESR Version 52.5.2 zur
Verfügung, welche die Schwachstelle CVE-2017-7843 adressieren.
Version 4 (08.12.2017):
Mozilla veröffentlicht Firefox 57.0.2 zur Behebung einer Regression, die
in der zwischenzeitlich veröffentlichten Version Firefox 57.0.1
aufgetreten ist. Die Schwachstelle CVE-2017-7845 ermöglicht einem
entfernten, nicht authentisierten Angreifer auf Windows-Systemen die
Ausführung beliebigen Programmcodes. Diese Schwachstelle wird ebenfalls
mit Mozilla Firefox ESR 52.5.2 behoben. Da die Version Firefox ESR 52.5.1
aufgrund der Regression kurz nach Veröffentlichung wieder zurückgezogen
wurde, behebt das Sicherheitsupdate für Firefox ESR zusätzlich die dort
eigentlich adressierte Schwachstelle CVE-2017-7843.
Version 3 (06.12.2017):
Oracle stellt für Oracle Linux 6 (i386, x86_64) und 7 (x86_64)
Sicherheitsupdates auf die Firefox ESR Version 52.5.1 zur Behebung der
Schwachstelle CVE-2017-7843 bereit.
Version 2 (05.12.2017):
Red Hat stellt für Red Hat Enterprise Linux for Scientific Computing 6,
für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Desktop,
Workstation und Server sowie für die Server 7.4 Produktversionen Advanced
Update Support (AUS), Extended Update Support (EUS), 4 Year Extended
Update Support und Telco Update Support (TUS) Sicherheitsupdates auf die
Firefox Version 52.5.1 ESR zur Behebung der Schwachstelle CVE-2017-7843
bereit.
Version 1 (05.12.2017):
Neues Advisory
Betroffene Software:
Mozilla Firefox < 57.0.2 Mozilla Firefox ESR < 52.5.2 Betroffene Plattformen: Apple macOS Debian Linux 8.10 Jessie Debian Linux 9.3 Stretch GNU/Linux Microsoft Windows Oracle Linux 6 Oracle Linux 7 Red Hat Enterprise Linux for Scientific Computing 6 Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server for ARM 7 Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.4 Red Hat Enterprise Linux Server 7.4 AUS Red Hat Enterprise Linux Server 7.4 EUS Red Hat Enterprise Linux Server 7.4 TUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 25 Red Hat Fedora 26 Red Hat Fedora 27 Eine Schwachstelle in Mozilla Firefox ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen. Eine weitere Schwachstelle, die allerdings nur in der Firefox Version 57 existiert, ermöglicht einem solchen Angreifer zusätzlich das Ausspähen von Informationen. Der Hersteller behebt die beiden Schwachstellen mit der außerhalb der üblichen Release-Zyklen veröffentlichten Firefox Version 57.0.1 und stuft das Sicherheitsupdate als kritisch ein, obwohl die Kritikalität der einzelnen behobenen Schwachstellen 'nur' jeweils mit 'high' bewertet wird. Für die Distributionen Fedora 25, 26 und 27 stehen Sicherheitsupdates auf diese Firefox Version im Status 'testing' zur Verfügung. Patch: Fedora Security Update FEDORA-2017-1be05999bb (Fedora 26, firefox-57.0.1-1.fc26) https://bodhi.fedoraproject.org/updates/FEDORA-2017-1be05999bb
Patch:
Fedora Security Update FEDORA-2017-2c15e19fb5 (Fedora 25,
firefox-57.0.1-1.fc25)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2c15e19fb5
Patch:
Fedora Security Update FEDORA-2017-bfd2d4afce (Fedora 27,
firefox-57.0.1-1.fc27)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-bfd2d4afce
Patch:
Mozilla Foundation Security Advisory MFSA 2017-27 (Firefox 57.0.1)
https://www.mozilla.org/en-US/security/advisories/mfsa2017-27/
Patch:
Red Hat Security Advisory RHSA-2017:3382
https://access.redhat.com/errata/RHSA-2017:3382
Patch:
Oracle Linux Security Advisory ELSA-2017-3382
https://linux.oracle.com/errata/ELSA-2017-3382.html
Patch:
Mozilla Foundation Security Advisory MFSA 2017-28 (Firefox ESR 52.5.2)
https://www.mozilla.org/en-US/security/advisories/mfsa2017-28/
Patch:
Mozilla Foundation Security Advisory MFSA 2017-29 (Firefox 57.0.2)
https://www.mozilla.org/en-US/security/advisories/mfsa2017-29/
Patch:
Debian Security Advisory DSA-4062-1
https://www.debian.org/security/2017/dsa-4062
CVE-2017-7845: Schwachstelle in Mozilla Firefox ermöglicht Ausführung
beliebigen Programmcodes
Mit Firefox 52.0.1 und Firefox ESR 52.5.1 wurde eine Regression eingeführt,
da innerhalb der Grafikbibliothek ANGLE, die für WebGL verwendet wird, ein
falscher Wert an Bedingungsprüfungen übergeben wird. Die kritische
Schwachstelle tritt als Pufferüberlauf beim Zeichnen und bei der Validierung
von Elementen mit Direct 3D 9 auf, betrifft also nur Windows-Systeme. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen.
CVE-2017-7844: Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von
Informationen
Eine Schwachstelle in Mozilla Firefox 57 besteht aufgrund einer Kombination
einer von einer Seite referenzierten Scalable Vector Grafik (SVG) und der
Kolorierung von Anker-Links (Anchor Links), zum Sprung an eine spezifische
Stelle einer Seite, die in dieser Grafik gespeichert werden. Ein entfernter,
nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um
Informationen über die Historie der besuchten Webseiten auszuspähen. Der
Hersteller bewertet die Kritikalität der Schwachstelle mit ‘high’.
CVE-2017-7843: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen
Eine Schwachstelle in Mozilla Firefox besteht, wenn der ‘Private Browsing
Mode’ genutzt wird. Dieser Modus soll beim Browsen im Internet verhindern,
dass Informationen über die besuchten Seiten gespeichert werden. Aufgrund
der Schwachstelle ist es einem Web Worker (ein Web Worker ermöglicht es,
Skripte im Hintergrund der eigentlichen Web-Anwendung laufen zu lassen)
persistente Daten in die IndexedDB zu schreiben und einen Benutzer eindeutig
zu identifizieren. Die IndexedDB sollte im ‘Private Browsing Mode’ nicht
verfügbar sein. Die gespeicherten Daten werden über multiple ‘Private
Browsing Mode’-Sitzungen gespeichert, da der Speicher nicht geleert wird,
wenn eine Sitzung beendet wird.
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, um intendierte Sicherheitsvorkehrungen zu umgehen. Der Hersteller
bewertet die Kritikalität der Schwachstelle mit ‘high’.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2195/
Fedora Security Update FEDORA-2017-1be05999bb (Fedora 26,
firefox-57.0.1-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-1be05999bb
Fedora Security Update FEDORA-2017-2c15e19fb5 (Fedora 25,
firefox-57.0.1-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2c15e19fb5
Fedora Security Update FEDORA-2017-bfd2d4afce (Fedora 27,
firefox-57.0.1-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-bfd2d4afce
Mozilla Foundation Security Advisory MFSA 2017-27 (Firefox 57.0.1):
https://www.mozilla.org/en-US/security/advisories/mfsa2017-27/
Red Hat Security Advisory RHSA-2017:3382:
https://access.redhat.com/errata/RHSA-2017:3382
Schwachstelle CVE-2017-7843 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7843
Schwachstelle CVE-2017-7844 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7844
Oracle Linux Security Advisory ELSA-2017-3382:
https://linux.oracle.com/errata/ELSA-2017-3382.html
Mozilla Foundation Security Advisory MFSA 2017-28 (Firefox ESR 52.5.2):
https://www.mozilla.org/en-US/security/advisories/mfsa2017-28/
Mozilla Foundation Security Advisory MFSA 2017-29 (Firefox 57.0.2):
https://www.mozilla.org/en-US/security/advisories/mfsa2017-29/
Schwachstelle CVE-2017-7845 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7845
Debian Security Advisory DSA-4062-1:
https://www.debian.org/security/2017/dsa-4062
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
