DFN-CERT-2012-2065 Mehrere Schwachstellen in Mozilla Firefox [Linux][SuSE]

DFN-CERT-2012-2065 Mehrere Schwachstellen in Mozilla Firefox [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket MozillaFirefox

Betroffene Plattformen:

SUSE Linux Enterprise Software Development Kit 11 SP2
SUSE Linux Enterprise Server 11 SP2 für VMware
SUSE Linux Enterprise Server 11 SP2
SUSE Linux Enterprise Server 10 SP4
SUSE Linux Enterprise Desktop 11 SP2
SUSE Linux Enterprise Desktop 10 SP4
SLE SDK 10 SP4

Mehrere Schwachstellen in Mozilla Firefox ermöglichen einem entfernten
Angreifer schlimmstenfalls beliebige HTML- und Skript-Befehle auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.novell.com/index.jsp

CVE-2012-4195: Cross Site Scripting Schwachstelle in der Mozilla Browser
Engine

Die Funktion ‘CheckURL()’ eines Objektes vom Typ window.location enthält
eine Schwachstelle, aufgrund derer unter Umständen das falsche
Aufruf-Dokument zurückgegeben wird. Dies ermöglicht prinzipiell,
Cross-Site-Scripting-Angriffe mit Hilfe eines Add-Ons durchzuführen, wenn
dieses auf die Funktion zugreift.

CVE-2012-4196: Schwachstelle in der Mozilla Browser Engine

Eine Schwachstelle in den sogenannten “Security Wrapper Protections”, welche
von der Mozilla Browser Engine verwendet werden, erlaubt es unter Umständen,
ungehindert auf ein Location-Objekt zuzugreifen. Ein Angreifer dem es
gelingt, diese Schwachstelle auszunutzen, kann auf diese Weise das
Location-Objekt auch unter Verletzung der “Same Origin Policy” lesen.

CVE-2012-4194: Cross Site Scripting Schwachstelle in der Mozilla Browser
Engine

In der Mozilla Browser Engine ist eine Schwachstelle enthalten die das
Überschreiben des Location-Attributes eines Window-Objektes erlaubt. Grund
hierfür ist, dass das Attribut durch ein neues überdeckt werden kann, wenn
aus einem Browser-Plugin darauf zugegriffen wird. Dies ermöglicht einem
Angreifer schlimmstenfalls beliebigen Script-Code in eine Seite
einzuschleusen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-2065/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-security-announce

Schwachstelle CVE-2012-4194:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4194

Schwachstelle CVE-2012-4195:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4195

Schwachstelle CVE-2012-4196:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4196

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben