DFN-CERT-2012-0178 Mehrere Schwachstellen in Firefox [Linux][RedHat]

DFN-CERT-2012-0178 Mehrere Schwachstellen in Firefox [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket firefox

Betroffene Plattformen:

RHEL Desktop Workstation Version 5 Client – i386, x86_64
Red Hat Enterprise Linux Version 5 Server – i386, ia64, ppc, s390x, x86_64
Red Hat Enterprise Linux AS Version 4 – i386, ia64, ppc, s390, s390x,
x86_64
Red Hat Enterprise Linux Desktop Version 5 Client – i386, x86_64
Red Hat Enterprise Linux Desktop Version 6 – i386, x86_64
Red Hat Enterprise Linux Desktop Optional Version 6 – i386, x86_64
Red Hat Enterprise Linux Desktop Version 4 – i386, x86_64
Red Hat Enterprise Linux ES Version 4 – i386, ia64, x86_64
Red Hat Enterprise Linux HPC Node Optional Version 6 – x86_64
Red Hat Enterprise Linux Server Version 6 – i386, ppc64, s390x, x86_64
Red Hat Enterprise Linux Server Optional Version 6 – i386, ppc64, s390x,
x86_64
Red Hat Enterprise Linux WS Version 4 – i386, ia64, x86_64
Red Hat Enterprise Linux Workstation Version 6 – i386, x86_64
Red Hat Enterprise Linux Workstation Optional Version 6 – i386, x86_64

Mehrere Schwachstellen in der Mozilla Browser Engine ermöglichen es einem
entfernten Angreifer beliebigen Code mit den Rechten des Benutzers
auszufÃŒhren.

Firefox verwendet die Mozilla Browser Engine.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

https://rhn.redhat.com

CVE-2012-0444: Schwachstellen in der Mozilla Browser Engine

Die Mozilla Browser Engine enthÀlt eine Schwachstelle in der Verarbeitung
von Ogg Vorbis Dateien. Dies ermöglicht einem entfernten Angreifer mittels
einer Webseite, mit einer prÀpariertem Ogg Vorbis Datei, die Anwendung zum
Absturz zu bringen oder schlimmstenfalls beliebigen Code mit den Rechten der
Anwendung zur AusfÃŒhrung zu bringen.

CVE-2011-3659: “Use-After-Free” Schwachstelle in der Mozilla Browser Engine

Mozilla Firefox, Thunderbird und SeaMonkey enthalten eine “Use-After-Free”
Schwachstelle beim Entfernen von nsDOMAttribute-Knoten. Unter bestimmten
UmstÀnden ermöglicht diese einem entfernten Angreifer die Anwendung zum
Absturz zu bringen oder schlimmstenfalls beliebigen Code mit den Rechten der
Anwendung zur AusfÃŒhrung zu bringen.

CVE-2012-0442: Schwachstelle in der Mozilla Browser Engine

Mozilla Firefox, Thunderbird und SeaMonkey enthalten mehrere nicht nÀhre
spezifizierte Schwachstellen in der Verarbeitung von Webinhalten die nicht
standard-konform sind. Diese ermöglichen einem entfernten Angreifer die
Anwendung zum Absturz zu bringen oder schlimmstenfalls beliebigen Code mit
den Rechten der Anwendung zur AusfÃŒhrung zu bringen.

CVE-2012-0449: Schwachstellen in der Mozilla Browser Engine

Mozilla Firefox und Thunderbird enthalten eine Schwachstelle in der
Verarbeitung von SVG-Bilddateien (Scalable Vector Graphics), welche
“eXtensible Style Sheet Language Transformations” (XSLT) enthalten. Dies
ermöglicht einem entfernten Angreifer mittels einer Webseite mit einer
prÀpariertem SVG-Bilddatei die Anwendung zum Absturz zu bringen oder
schlimmstenfalls beliebigen Code mit den Rechten der Anwendung zur
AusfÃŒhrung zu bringen.

CVE-2011-3670: Schwachstelle in der Mozilla Browser Engine

Die “Same-Origin-Policy” in Mozilla Firefox, Thunderbird und SeaMonkey
unterscheidet nicht zwischen der nach RFC 3513 ungÃŒltigen IPv6 Darstellung
fÃŒr Hostnamen (http://IPv6-Hostname) und der gÃŒltigen Darstellung
(http://[IPv6-Hostname]). Dies ermöglicht einem entfernten Angreifer mittels
eines Skriptes Zugriff auf sensitive Information wie interne Hostnamen,
Client-IP-Adressen, E-Mail-Adressen oder httpOnly-Cookies zu erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0178/

Das Hersteller Advisory:
https://rhn.redhat.com/errata/RHSA-2012-0079.html

Schwachstelle CVE-2011-3659:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3659

Schwachstelle CVE-2011-3670:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3670

Schwachstelle CVE-2012-0442:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0442

Schwachstelle CVE-2012-0444:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0444

Schwachstelle CVE-2012-0449:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0449

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben