Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Paket firefox
Betroffene Plattformen:
RHEL Desktop Workstation (v. 5 client) – i386, x86_64
Red Hat Enterprise Linux (v. 5 server) – i386, ia64, ppc, s390x, x86_64
Red Hat Enterprise Linux Desktop (v. 5 client) – i386, x86_64
Red Hat Enterprise Linux Desktop (v. 6) – i386, x86_64
Red Hat Enterprise Linux Desktop Optional (v. 6) – i386, x86_64
Red Hat Enterprise Linux HPC Node Optional (v. 6) – x86_64
Red Hat Enterprise Linux Server (v. 6) – i386, ppc64, s390x, x86_64
Red Hat Enterprise Linux Server Optional (v. 6) – i386, ppc64, s390x,
x86_64
Red Hat Enterprise Linux Workstation (v. 6) – i386, x86_64
Red Hat Enterprise Linux Workstation Optional (v. 6) – i386, x86_64
Ein entfernter Angreifer kann mehrere Schwachstellen in der Mozilla Browser
Engine ausnutzen, um beliebige Befehle mit den Rechten des Benutzers
auszuführen. Davon betroffen ist Firefox.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
CVE-2013-1675: Schwachstelle in der Mozilla Browser Engine
Einige DOMSVGZoomEvent-Funktionen werden ohne Initialisierung des
verwendeten Speichers verwendet. Dies kann ein Angreifer ausnutzen, um an
potentiell vertrauliche Inhalte dieses Speichers zu gelangen.
CVE-2013-1678: Schwachstelle in der Mozilla Browser Engine
In der Mozilla Browser Engine sind aufgrund von Fehlern in der
Speicherverwaltung (Ungültige Speicheroperation bei
_cairo_xlib_surface_add_glyph) mehrere Schwachstellen vorhanden. Ein
entfernter Angreifer kann diese Schwachstellen mittels einer speziell
konstruierten Web-Seite ausnutzen, um beliebige Befehle mit den Rechten des
Benutzers auszuführen.
CVE-2013-1681: Schwachstelle in der Mozilla Browser Engine
In der Mozilla Browser Engine sind aufgrund von Fehlern in der
Speicherverwaltung (Zugriff auf freigegebenen Heap-Speicher in
nsContentUtils::RemoveScriptBlocker) mehrere Schwachstellen vorhanden. Ein
entfernter Angreifer kann diese Schwachstellen mittels einer speziell
konstruierten Web-Seite ausnutzen, um beliebige Befehle mit den Rechten des
Benutzers auszuführen.
CVE-2013-1676: Schwachstelle in der Mozilla Browser Engine
In der Mozilla Browser Engine sind aufgrund von Fehlern in der
Speicherverwaltung (Lesen von Speicher außerhalb der Grenzen von
SelectionIterator::GetNextSegment) mehrere Schwachstellen vorhanden. Ein
entfernter Angreifer kann diese Schwachstellen mittels einer speziell
konstruierten Web-Seite ausnutzen, um beliebige Befehle mit den Rechten des
Benutzers auszuführen.
CVE-2013-1680: Schwachstelle in der Mozilla Browser Engine
In der Mozilla Browser Engine sind aufgrund von Fehlern in der
Speicherverwaltung (Zugriff auf freigegebenen Heap-Speicher in
nsFrameList::FirstChild) mehrere Schwachstellen vorhanden. Ein entfernter
Angreifer kann diese Schwachstellen mittels einer speziell konstruierten
Web-Seite ausnutzen, um beliebige Befehle mit den Rechten des Benutzers
auszuführen.
CVE-2013-1677: Schwachstelle in der Mozilla Browser Engine
In der Mozilla Browser Engine sind aufgrund von Fehlern in der
Speicherverwaltung (Lesen von Speicher außerhalb der Grenzen von
gfxSkipCharsIterator::SetOffsets) mehrere Schwachstellen vorhanden. Ein
entfernter Angreifer kann diese Schwachstellen mittels einer speziell
konstruierten Web-Seite ausnutzen, um beliebige Befehle mit den Rechten des
Benutzers auszuführen.
CVE-2013-0801: Schwachstelle in der Mozilla Browser Engine
In der Mozilla Browser Engine sind aufgrund von Fehlern in der
Speicherverwaltung mehrere Schwachstellen vorhanden. Ein entfernter
Angreifer kann diese Schwachstellen mittels einer speziell konstruierten
Web-Seite ausnutzen, um beliebige Befehle mit den Rechten des Benutzers
auszuführen.
CVE-2013-1674: Schwachstelle in der Mozilla Browser Engine
In der Mozilla Browser Engine ist aufgrund von Fehlern in der
Speicherverwaltung beim Abspielen von Videos eine Schwachstelle vorhanden.
Ein entfernter Angreifer kann diese Schwachstelle mittels einer speziell
konstruierten Web-Seite ausnutzen, um beliebige Befehle mit den Rechten des
Benutzers auszuführen.
CVE-2013-1670: Schwachstelle in der Mozilla Browser Engine
Beim Aufruf eines Content-Level-Constructors erhält dieser fehlerhafter
Weise Zugriff auf Chrome-Privilegien. Davon betroffen sind
Chrome-Object-Wrappers (COW). Als Konsequenz kann ein entfernter Angreifer
diese Schwachstelle für Cross-Site-Scripting-Angriffe ausnutzen.
CVE-2013-1679: Schwachstelle in der Mozilla Browser Engine
In der Mozilla Browser Engine sind aufgrund von Fehlern in der
Speicherverwaltung (Zugriff auf freigegebenen Heap-Speicher in
mozilla::plugins::child::_geturlnotify) mehrere Schwachstellen vorhanden.
Ein entfernter Angreifer kann diese Schwachstellen mittels einer speziell
konstruierten Web-Seite ausnutzen, um beliebige Befehle mit den Rechten des
Benutzers auszuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0913/
Das Hersteller Advisory:
https://rhn.redhat.com/errata/RHSA-2013-0820.html
Schwachstelle CVE-2013-0801:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0801
Schwachstelle CVE-2013-1670:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1670
Schwachstelle CVE-2013-1674:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1674
Schwachstelle CVE-2013-1675:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1675
Schwachstelle CVE-2013-1676:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1676
Schwachstelle CVE-2013-1677:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1677
Schwachstelle CVE-2013-1678:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1678
Schwachstelle CVE-2013-1679:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1679
Schwachstelle CVE-2013-1680:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1680
Schwachstelle CVE-2013-1681:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1681
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
