DFN-CERT-2013-1016 Mehrere Schwachstellen in Mozilla Firefox [Linux][SuSE]

DFN-CERT-2013-1016 Mehrere Schwachstellen in Mozilla Firefox [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket Mozilla Firefox

Betroffene Plattformen:

SUSE Linux Enterprise Server 11 SP1 für VMware LTSS
SUSE Linux Enterprise Server 11 SP1 LTSS

Mehrere Schwachstellen in Mozilla Firefox ermöglichen einem entfernten
Angreifer schlimmstenfalls beliebige Befehle mit den Rechten des Benutzers
auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.novell.com/index.jsp

CVE-2013-0797: Schwachstelle in der Mozilla Browser Engine

In der Mozilla Browser Engine ist es möglich dem Mozilla Updater einen
unsicheren Suchpfad anzugeben. Dies ermöglicht einem lokalen Angreifer durch
das Laden einer präparierten DLL-Datei im Mozilla Updater erweiterte Rechte
zu erlangen.

CVE-2013-0791: Schwachstelle in der Mozilla Browser Engine

In der Funktion CERT_DecodeCertPackage() des Mozilla Network Security
Services (NSS) in der Mozilla Browser Engine enthält einen Speicherzugriff
außerhalb der Feldgrenzen, welcher eine Korruption des Speichers
herbeiführen kann. Dies ermöglicht einem entfernten Angreifer durch die
Verwendung eines präparierten Zertifikats die Anwendung zum Absturz zu
bringen.

CVE-2013-0799: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält im Mozilla Maintenance Service einen
Buffer Overflow. Dieser ermöglicht einem lokalen Angreifer durch die
Verwendung von präparierten Argumenten erweiterte Rechte zu erlangen.

CVE-2013-0794: Schwachstelle in der Mozilla Firefox und SeaMonkey

Mozilla Firefox und SeaMonkey erlauben das Fälschen der URL von
‘Tab-Modal’-Dialogen. Dies ermöglicht einem entfernten Angreifer durch das
Bereitstellen von präparierten Webseiten Phishing-Angriffe durchzuführen.

CVE-2013-0792: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine verarbeitet Farbprofile während des Rendern von
PNG-Dateien fehlerhaft, falls die Einstellung
‘gfx.color_management.enablev4’ verwendet wird. Dies ermöglicht einem
entfernten Angreifer durch die Verwendung eines Graustufenbildes
vertrauliche Informationen aus dem Prozessspeicher zu erlangen oder die
Anwendung zu Absturz zu bringen.

CVE-2013-0796: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält eine Schachstelle in der
WebGL-Bibliothek. Diese ermöglicht einem entfernten Angreifer durch das
Bereitstellen präparierter Webinhalte die Anwendung zum Absturz zu bringen
oder schlimmstenfalls beliebige Befehle mit den Rechten der Anwendung zur
Ausführung zu bringen. Vorausgesetzt der Benutzer verwendet den Intel Mesa
Grafiktreiber.

CVE-2013-0793: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält eine Schwachstelle in der Verarbeitung
der JavaScript-History. Dies ermöglicht einem entfernten Angreifer durch das
Bereitstellen von präparierten Webinhalten, die baseURI einer Seite auf eine
andere zeigen zu lassen und somit Phishing-Angriffe durchzuführen oder
schlimmstenfalls beliebige Befehle mit den Rechten der Anwendung zur
Ausführung zu bringen.

CVE-2013-0795: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält eine Schwachstelle in der Implementierung
des Same-Origin-Wrappers. Dies ermöglicht einem entfernten Angreifer die
Same-Origin-Policy zu umgehen und beliebige Befehle mit den Rechten des
Benutzers zur Ausführung zu bringen.

CVE-2013-0788: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält mehrere Fehler in der Speicherverwaltung.
Dies ermöglicht einem entfernten Angreifer durch das Bereitstellen von
präparierten Webinhalten, die Anwendung zum Absturz zu bringen oder
schlimmstenfalls beliebige Befehle mit den Rechten der Anwendung zur
Ausführung zu bringen.

CVE-2013-0800: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält in der Cairo-Bibliothek einen
schreibenden Speicherzugriff außerhalb der Feldgrenzen. Dies ermöglicht
einem entfernten Angreifer durch das Bereitstellen von präparierten
Webinhalten, die Anwendung zum Absturz zu bringen oder schlimmstenfalls
beliebige Befehle mit den Rechten der Anwendung zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1016/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-security-announce

Schwachstelle CVE-2013-0788:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0788

Schwachstelle CVE-2013-0793:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0793

Schwachstelle CVE-2013-0795:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0795

Schwachstelle CVE-2013-0796:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0796

Schwachstelle CVE-2013-0800:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0800

Schwachstelle CVE-2013-0791:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0791

Schwachstelle CVE-2013-0792:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0792

Schwachstelle CVE-2013-0794:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0794

Schwachstelle CVE-2013-0797:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0797

Schwachstelle CVE-2013-0799:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0799

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben