DFN-CERT-2013-0726 Mehrere Schwachstellen in den Mozilla Produkten [Linux][SuSE]

DFN-CERT-2013-0726 Mehrere Schwachstellen in den Mozilla Produkten [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket MozillaFirefox
Paket MozillaThunderbird
Paket seamonkey
Paket xulrunner

Betroffene Plattformen:

openSUSE 12.3
openSUSE 12.2
openSUSE 12.1

Mehrere Schwachstellen in den Mozilla Produkten ermöglichen einem entfernten
Angreifer schlimmstenfalls beliebige Befehle mit den Rechten der Anwendung
zur Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.novell.com/index.jsp

CVE-2013-0789: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält in der Funktion
nsContentUtils::HoldJSObjects() eine nicht näher spezifizierte Schwachstelle
in der Speicherverwaltung. Diese ermöglicht einem entfernten Angreifer die
Anwendung durch das Hervorrufen einer Speicherkorruption zum Absturz zu
bringen oder schlimmstenfalls beliebige Befehle zur Ausführung zu bringen.

CVE-2013-0791: Schwachstelle in der Mozilla Browser Engine

In der Funktion CERT_DecodeCertPackage() des Mozilla Network Security
Services (NSS) in der Mozilla Browser Engine enthält einen Speicherzugriff
außerhalb der Feldgrenzen, welcher eine Korruption des Speichers
herbeiführen kann. Dies ermöglicht einem entfernten Angreifer durch die
Verwendung eines präparierten Zertifikats die Anwendung zum Absturz zu
bringen.

CVE-2013-0794: Schwachstelle in der Mozilla Firefox und SeaMonkey

Mozilla Firefox und SeaMonkey erlauben das Fälschen der URL von
‘Tab-Modal’-Dialogen. Dies ermöglicht einem entfernten Angreifer durch das
Bereitstellen von präparierten Webseiten Phishing-Angriffe durchzuführen.

CVE-2013-0792: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine verarbeitet Farbprofile während des Rendern von
PNG-Dateien fehlerhaft, falls die Einstellung
‘gfx.color_management.enablev4’ verwendet wird. Dies ermöglicht einem
entfernten Angreifer durch die Verwendung eines Graustufenbildes
vertrauliche Informationen aus dem Prozessspeicher zu erlangen oder die
Anwendung zu Absturz zu bringen.

CVE-2013-0796: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält eine Schachstelle in der
WebGL-Bibliothek. Diese ermöglicht einem entfernten Angreifer durch das
Bereitstellen präparierter Webinhalte die Anwendung zum Absturz zu bringen
oder schlimmstenfalls beliebige Befehle mit den Rechten der Anwendung zur
Ausführung zu bringen. Vorausgesetzt der Benutzer verwendet den Intel Mesa
Grafiktreiber.

CVE-2013-0793: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält eine Schwachstelle in der Verarbeitung
der JavaScript-History. Dies ermöglicht einem entfernten Angreifer durch das
Bereitstellen von präparierten Webinhalten, die baseURI einer Seite auf eine
andere zeigen zu lassen und somit Phishing-Angriffe durchzuführen oder
schlimmstenfalls beliebige Befehle mit den Rechten der Anwendung zur
Ausführung zu bringen.

CVE-2013-0795: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält eine Schwachstelle in der Implementierung
des Same-Origin-Wrappers. Dies ermöglicht einem entfernten Angreifer die
Same-Origin-Policy zu umgehen und beliebige Befehle mit den Rechten des
Benutzers zur Ausführung zu bringen.

CVE-2013-0788: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält mehrere Fehler in der Speicherverwaltung.
Dies ermöglicht einem entfernten Angreifer durch das Bereitstellen von
präparierten Webinhalten, die Anwendung zum Absturz zu bringen oder
schlimmstenfalls beliebige Befehle mit den Rechten der Anwendung zur
Ausführung zu bringen.

CVE-2013-0800: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält in der Cairo-Bibliothek einen
schreibenden Speicherzugriff außerhalb der Feldgrenzen. Dies ermöglicht
einem entfernten Angreifer durch das Bereitstellen von präparierten
Webinhalten, die Anwendung zum Absturz zu bringen oder schlimmstenfalls
beliebige Befehle mit den Rechten der Anwendung zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0726/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-updates/

Schwachstelle CVE-2013-0788:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0788

Schwachstelle CVE-2013-0789:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0789

Schwachstelle CVE-2013-0791:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0791

Schwachstelle CVE-2013-0792:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0792

Schwachstelle CVE-2013-0793:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0793

Schwachstelle CVE-2013-0794:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0794

Schwachstelle CVE-2013-0795:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0795

Schwachstelle CVE-2013-0796:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0796

Schwachstelle CVE-2013-0800:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0800

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben