Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Mozilla Firefox <= 22.0 Mozilla Firefox <= 23.0 Mozilla Firefox <= 24.0 Mozilla Firefox <= 24.1 Mozilla Firefox ESR <= 17.0.9 Mozilla Firefox ESR <= 24.0.2 Mozilla SeaMonkey <= 2.9.1 Mozilla SeaMonkey <= 2.20 Mozilla SeaMonkey <= 2.21 Mozilla Thunderbird <= 17.0.9 Mozilla Thunderbird <= 24 Mozilla Thunderbird <= 24.0.1 Mozilla Thunderbird ESR <= 17.0.9 openSUSE <= 11.4 openSUSE <= 12.2 openSUSE <= 12.3 Betroffene Plattformen: Linux SuSE Mehrere Schwachstellen in Mozilla Produkten ermöglichen unterschiedliche Angriffsarten. Ein entfernter, nicht authentifizierter Angreifer kann u.a. Denial-of-Service-Angriffe durchführen oder beliebige Befehle mit den Rechten des Anwenders oder Administrators ausführen. openSUSE schließt für die Versionen 12.2 und 12.3 sämtliche und für 11.4 einen Teil dieser Schwachstellen. Patch: openSUSE Security Update openSUSE-SU-2013:1634-1 http://lists.opensuse.org/opensuse-updates/2013-11/msg00007.html
Patch:
openSUSE Security Update openSUSE-SU-2013:1633-1
http://lists.opensuse.org/opensuse-security-announce/2013-11/msg00005.html
CVE-2013-5602: Schwachstelle in Mozilla Firefox
Eine nicht näher beschriebene Schwachstelle in Mozilla Firefox kann von
einem entfernten, nicht authentifizierten Angreifer durch präparierte
Webinhalte zum Ausführen eines Denial-of-Service-Angriffs oder beliebiger
Befehle im Kontext des Benutzers genutzt werden.
CVE-2013-5601: Schwachstelle in Mozilla Firefox
Eine nicht näher beschriebene Schwachstelle in Mozilla Firefox kann von
einem entfernten, nicht authentifizierten Angreifer durch präparierte
Webinhalte zum Ausführen eines Denial-of-Service-Angriffs oder beliebiger
Befehle im Kontext des Benutzers genutzt werden.
CVE-2013-5600: Schwachstelle in Mozilla Firefox
Eine nicht näher beschriebene Schwachstelle in Mozilla Firefox kann von
einem entfernten, nicht authentifizierten Angreifer durch präparierte
Webinhalte zum Ausführen eines Denial-of-Service-Angriffs oder beliebiger
Befehle im Kontext des Benutzers genutzt werden.
CVE-2013-5599: Schwachstelle in Mozilla Firefox
Eine nicht näher beschriebene Schwachstelle in Mozilla Firefox kann von
einem entfernten, nicht authentifizierten Angreifer durch präparierte
Webinhalte zum Ausführen eines Denial-of-Service-Angriffs oder beliebiger
Befehle im Kontext des Benutzers genutzt werden.
CVE-2013-5597: Schwachstelle in Mozilla Firefox
Eine nicht näher beschriebene Schwachstelle in Mozilla Firefox kann von
einem entfernten, nicht authentifizierten Angreifer durch präparierte
Webinhalte zum Ausführen eines Denial-of-Service-Angriffs oder beliebiger
Befehle im Kontext des Benutzers genutzt werden.
CVE-2013-5590: Schwachstelle in Mozilla Firefox
Eine nicht näher beschriebene Schwachstelle in Mozilla Firefox kann von
einem entfernten, nicht authentifizierten Angreifer durch präparierte
Webinhalte zum Ausführen eines Denial-of-Service-Angriffs oder beliebiger
Befehle im Kontext des Benutzers genutzt werden.
CVE-2013-5603: Schwachstelle in der Mozilla Browser Engine
Eine Schwachstelle in nsContentUtils::ContentIsHostIncludingDescendantOf
führt zu einem ‘use-after-free’ Fehler. Ein entfernter, nicht
authentifizierter Angreifer kann durch präparierte HMTL-Seiten einen
Denial-of-Service-Angriff durchführen oder beliebige Befehle ausführen.
CVE-2013-5598: Schwachstelle in der Mozilla Browser Engine
Eine Schwachstelle in PDF.js führt dazu, dass IFRAME Elemente nicht korrekt
behandelt werden. Ein entfernter, nicht authentifizierter Angreifer kann
durch präparierte PDF-Dateien beliebige Daten lesen oder beliebige
JavaScript-Befehle mit den Rechten von Chrome ausführen.
CVE-2013-5596: Schwachstelle in Mozilla cycle collection
Eine Schwachstelle in der ‘cycle collection’ führt dazu, dass der Zeitpunkt
zum Freigeben eines Bild-Objektes nicht immer korrekt erkannt wird. Ein
entfernter, nicht authentifizierter Angreifer kann durch präparierte
HTML-Seiten einen Denial-of-Service-Angriff durch- oder beliebige Befehle
ausführen.
CVE-2013-5593: Schwachstelle in der Mozilla Browser Engine
Eine Schwachstelle in der Implementierung des SELECT Elementes führt dazu,
dass die Restriktionen für HTML-Elemente nicht vollständig beachtet werden.
Ein entfernter, nicht authentifizierter Angreifer kann durch eine
präparierte HMTL-Seite die Adress-Statusleiste manipulieren oder
clickjacking-Angriffe ausführen.
CVE-2013-5592: Schwachstellen in Mozilla Firefox
Eine nicht näher beschriebene Schwachstellen in Mozilla Firefox kann zu
Speicherfehlern und Systemabstürzen führen. Ein entfernter, nicht
authentifiziert Angreifer kann durch Ausnutzen der Schwachstelle einen
Denial-of-Service-Angriff durchführen oder beliebige Befehle im Kontext des
Benutzers ausführen.
CVE-2013-5604: Schwachstelle in XSLT Verarbeitung
Eine Schwachstelle in der Funktion txXPathNodeUtils::getBaseURI initalisiert
Daten nicht korrekt. Ein entfernter, nicht authentifizierter Angreifer kann
durch präparierte XSLT Dateien einen Denial-of-Service-Angriff durchführen
oder beliebige Befehle im Kontext des Benutzers ausführen.
CVE-2013-5595: Schwachstelle in Mozilla Firefox Javascript Engine
Eine Schwachstelle in der Javascript Engine von Mozilla Firefox kann zu
einer fehlerhaften Speicherbereitstellung führen.
Ein entfernter, nicht authentifizierter Angreifer kann durch präparierte
Webinhalte und nicht näher beschriebene Aktionen beliebige Befehle im
Kontext des Benutzers ausführen.
CVE-2013-1705: Schwachstelle in der Mozilla Browser Engine
Die Mozilla Browser Engine enthält in der Funktion
cryptojs_interpret_key_gen_type() einen Buffer Underflow auf dem Heap. Dies
ermöglicht einem entfernten Angreifer durch das Senden einer präparierten
‘Certificate Request Message Format’ (CRMF) Anfrage die Anwendung zum
Absturz zu bringen oder beliebige Befehle zur Ausführung zu bringen.
CVE-2013-1737: Schwachstelle in der Mozilla Browser Engine
Die Mozilla Browser Engine indentifiziert das “this” Objekt in einer
benutzerdefinierten ‘getter’-Methode in “DOM proxies” nicht korrekt. Ein
entfernter, nicht authentifizierter Angreifer kann durch präparierte
Webseiten die vorgesehenen Zugriffsbeschränkungen umgehen.
CVE-2013-1736: Schwachstelle in der Mozilla Browser Engine
Die Funktion nsGfxScrollFrameInner::IsLTR in der Mozilla Browser Engine
behandelt die Eltern-Kind-Beziehung beim Erstellen von “range-request”
nicht korrekt, wodurch es zu einer Speicherschutzverletzung kommen kann. Ein
entfernter, nicht authentifizierter Angreifer kann durch präparierte
Webseiten das Programm zum Absturz bringen oder beliebige Befehle im Kontext
des Benutzers ausführen.
CVE-2013-1735: Schwachstelle in der Mozilla Browser Engine
In der Mozilla Browser Engine kann es beim Scrollen von Bilddokumenten zu
Speicherschutzverletzungen kommen. Ein entfernter, nicht authentifizierter
Angreifer kann dies mit einer präparierte Webseite ausnutzen, um beliebige
Befehle im Kontext des Benutzers auszuführen.
CVE-2013-1732: Schwachstelle in der Mozilla Browser Engine
Die Kombination von Listen, mehreren Zeilen und Fließtext Layout in der
Mozilla Browser Engine kann zu einem Pufferüberlauf führen. Ein entfernter,
nicht authentifizierter Angreifer kann dadurch beliebige Befehlen im Kontext
des Benutzers ausführen.
CVE-2013-1730: Schwachstelle in der Mozilla Browser Engine
Die Mozilla Browser Engine verschiebt gesicherte XBL Nodes nicht korrekt in
ein mit document.open() erzeugtes Ersatzdokument, wodurch es zu einer
Diskrepanz in den JavaScript Elementen kommen kann. Ein entfernter, nicht
authentifizierter Angreifer kann damit einen Denial-of-Service-Angriff oder
beliebige Befehle im Kontext des Benutzers ausführen.
CVE-2013-1725: Schwachstelle in der Mozilla Browser Engine
Die Mozilla Browser Engine initialisiert Elemente in JavaScript Objekten
nicht korrekt, wodurch es zu einer Speicherschutzverletzung kommen kann. Ein
entfernter, nicht authentifizierter Angreifer kann durch eine präparierte
Webseite das Programm zum Absturz bringen oder beliebige Befehle im Kontext
des Benutzers ausführen.
CVE-2013-1722: Schwachstelle in der Mozilla Browser Engine
Die Mozilla Browser Engine enthält beim Erzeugen von Stylesheets eine
Use-after-free-Schwachstelle. Ein entfernter, nicht authentifizierter
Angreifer kann dies für einen Denial-of-Service-Angriff ausnutzen.
CVE-2013-1718: Schwachstelle in der Mozilla Browser Engine
Die Mozilla Browser Engine prüft DOM JavaScript Objekte nicht korrekt,
wodurch es zu Speicherschutzverletzungen kommen kann. Ein entfernter, nicht
authentifizierter Angreifer kann dies zu einem Denial-of-Service-Angriff
oder zum Ausführen beliebiger Befehle mit den Rechten des Benutzers
ausnutzen.
CVE-2013-5591: Schwachstelle in der Mozilla Browser Engine
Eine nicht näher beschriebene Schwachstelle in der Mozilla Browser Engine
kann zu Befehlsausführungen genutzt werden. Ein entfernter, nicht
authentifizierter Angreifer kann durch nicht näher beschriebenes Vorgehen
einen Denial-of-Service-Angriff durchführen oder beliebige Befehle im
Kontext des Benutzers ausführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1899/
Schwachstelle CVE-2013-1705 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-1705
Schwachstelle CVE-2013-1722 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-1722
Schwachstelle CVE-2013-1725 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-1725
Schwachstelle CVE-2013-1735 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-1735
Schwachstelle CVE-2013-1718 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-1718
Schwachstelle CVE-2013-1736 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-1736
Schwachstelle CVE-2013-1730 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-1730
Schwachstelle CVE-2013-1732 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-1732
Schwachstelle CVE-2013-1718 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1718
Schwachstelle CVE-2013-1722 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1722
Schwachstelle CVE-2013-1725 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1725
Schwachstelle CVE-2013-1730 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1730
Schwachstelle CVE-2013-1732 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1732
Schwachstelle CVE-2013-1735 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1735
Schwachstelle CVE-2013-1736 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1736
Schwachstelle CVE-2013-1737 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1737
Schwachstelle CVE-2013-1737 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-1737
Schwachstelle CVE-2013-1705 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1705
openSUSE Security Advisory: openSUSE-SU-2013:1496-1:
http://lists.opensuse.org/opensuse-updates/2013-09/msg00060.html
Schwachstelle CVE-2013-5596 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-5596
Schwachstelle CVE-2013-5599 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-5599
Schwachstelle CVE-2013-5600 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-5600
Schwachstelle CVE-2013-5595 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-5595
Schwachstelle CVE-2013-5595 (RedHat):
https://www.redhat.com/security/data/cve/CVE-2013-5602.html
Schwachstelle CVE-2013-5601 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-5601
Schwachstelle CVE-2013-5604 (RedHat):
https://www.redhat.com/security/data/cve/CVE-2013-5590.html
Schwachstelle CVE-2013-5591 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-5591
Schwachstelle CVE-2013-5598 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-5598
Schwachstelle CVE-2013-5603 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-5603
Schwachstelle CVE-2013-5602 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-5602
Schwachstelle CVE-2013-5593 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-5593
Schwachstelle CVE-2013-5590 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5590
Schwachstelle CVE-2013-5599 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5599
Schwachstelle CVE-2013-5602 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5602
Schwachstelle CVE-2013-5601 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5601
Schwachstelle CVE-2013-5600 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5600
Schwachstelle CVE-2013-5597 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5597
Schwachstelle CVE-2013-5595 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5595
Schwachstelle CVE-2013-5604 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5604
Schwachstelle CVE-2013-5597 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-5597
Schwachstelle CVE-2013-5591 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5591
Schwachstelle CVE-2013-5592 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5592
Schwachstelle CVE-2013-5596 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5596
Schwachstelle CVE-2013-5598 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5598
Schwachstelle CVE-2013-5603 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5603
Schwachstelle CVE-2013-5593 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5593
Schwachstelle CVE-2013-5604 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-5604
openSUSE Security Update openSUSE-SU-2013:1634-1:
http://lists.opensuse.org/opensuse-updates/2013-11/msg00007.html
openSUSE Security Update openSUSE-SU-2013:1633-1:
http://lists.opensuse.org/opensuse-security-announce/2013-11/msg00005.html
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
