DFN-CERT-2012-0243 Mehrere Schwachstellen in verschiedenen Mozilla Produkten [Linux][SuSE]

DFN-CERT-2012-0243 Mehrere Schwachstellen in verschiedenen Mozilla Produkten [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket firefox
Paket xulrunner

Betroffene Plattformen:

openSUSE 11.4

Mehrere Schwachstellen in der Mozilla-Browser Engine erlauben einem
entfernten Angreifer im schlimmsten Fall beliebigen Code mit den Rechten der
Anwendung zur AusfÃŒhrung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.opensuse.org/update/

CVE-2011-3661: Schwachstelle in der Mozilla-Browser Engine

Die Komponente YARR, die in Mozilla Firefox 4.x bis 8.0, Thunderbird 5.0 bis
8.0 und SeaMonkey vor Version 2.6, erlaubt entfernten Angreifern einen
Denial of Service-Angriff durchzufÌhren. Weiterhin ist es möglich, dass auch
beliebiger Code mittels prÀpariertem JavaScript zur AusfÌhrung gebracht
werden kann.

CVE-2011-3663: Schwachstelle in der Mozilla-Browser Engine

In Mozilla Firefox 4.0 bis 8.0, Thunderbird 5.0 bis 8.0 und SeaMonkey vor
Version 2.6 ist es trotz abgeschaltetem JavaScript möglich, gedrÌckte Tasten
aufzuzeichnen. Dies ist möglich, durch die Verwendung von SVG-Animationen in
Verbindung mit accessKey-Events. Ein entfernter Angreifer kann die
Schwachstelle ausnutzen um an vertrauliche Daten zu gelangen, falls es ihm
gelingt den Nutzer zu ÃŒberzeugen, auf entfernte Inhalte zuzugreifen und dort
Daten einzugeben.

CVE-2011-3660: Schwachstelle in der Mozilla-Browser Engine

Mehrere nicht nÀher beschriebene Schwachstellen in der Browser-Engine von
Mozilla erlauben entfernten Angreifern durch Speicherkorrumpierung einen
Denial of Service-Angriff durchzufÃŒhren oder schlimmstenfalls beliebigen
Code zur AusfÃŒhrung zu bringen. Betroffen sind die Versionen 4.x bis 8.0 von
Firefox, Thunderbird 5.0 bis 8.0 und SeaMonkey vor Version 2.6.

CVE-2011-3658: Schwachstelle in der Mozilla-Browser Engine

In der SVG-Implementierung in Mozilla Firefox und Thunderbird 8.0, sowie
SeaMonkey 2.5 kommt es bei der Interaktion mit Event-Handlern vom Type
DOMAttrModified zu Fehlern. Diese erlauben einem entfernten Angreifer durch
Zugriffe auf Puffer auÃ?erhalb des gÃŒltigen Bereichs einen Denial of
Service-Angriff durchzufÌhren. Weiterhin ist nicht genau geklÀrt, ob durch
die Entfernung von SVG-Elementen noch andere Auswirkungen möglich sind.

CVE-2011-3665: Schwachstelle in der Mozilla-Browser Engine

In Mozilla Firefox 4.x bis 8.0 und Thunderbird 5.0 bis 8.0, und SeaMonkey
vor Version 2.6 werden Ogg-Video-Elemente nicht korrekt verarbeitet, nachdem
sie skaliert wurden. Ein entfernter Angreifer kann dies ausnutzen, um
mittels eines prÀparierten Dokuments (Webseite, Email) einen Denial of
Service-Angriff durchfÌhren. Es ist durchaus möglich, dass diese
Schwachstelle noch weitere Auswirkungen hat.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0243/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-security-announce/

Schwachstelle CVE-2011-3658:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3658

Schwachstelle CVE-2011-3660:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3660

Schwachstelle CVE-2011-3661:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3661

Schwachstelle CVE-2011-3663:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3663

Schwachstelle CVE-2011-3665:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3665

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben