DFN-CERT-2013-1534 Mehrere Schwachstellen in Mozilla Firefox 17.0.8 [Linux][SuSE]

DFN-CERT-2013-1534 Mehrere Schwachstellen in Mozilla Firefox 17.0.8 [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket Mozilla Firefox

Betroffene Plattformen:

SUSE Linux Enterprise Server 10 SP4 LTSS

Mehrere Schwachstellen in Mozilla Firefox ermöglichen einem entfernten
Angreifer schlimmstenfalls beliebige Befehle zur Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.novell.com/index.jsp

CVE-2013-1712: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine beschränkt im Mozilla Updater den Suchpfad nicht
hinreichend. Dies ermöglicht einem lokalen Angreifer durch das Kopieren
einer präparierten DLL-Datei in das Update-Verzeichnis oder das aktuelle
Arbeitsverzeichnis beliebige Befehle zur Ausführung zu bringen. Diese
Schwachstelle betrifft ausschließlich Mozilla-Produkte unter Windows.

CVE-2013-1706: Buffer-Overflow-Schwachstelle in der Mozilla Browser Engine

Der Mozilla Maintenance Service enthält einen Buffer Overflow auf dem Stack.
Dies ermöglicht einem lokalen Angreifer durch das Verwenden von langen
Pfadnamen in der Kommandozeile seine Rechte zu erweitern.

CVE-2013-1707: Buffer-Overflow-Schwachstelle in der Mozilla Browser Engine

Der Mozilla Updater enthält einen Buffer Overflow auf dem Stack. Dies
ermöglicht einem lokalen Angreifer durch das Verwenden von langen Pfadnamen
in der Kommandozeile seine Rechte zu erweitern.

CVE-2013-1702: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält mehrere nicht näher spezifizierte
Schwachstellen. Diese ermöglichen einem entfernten Angreifer durch das
Herbeiführen einer Korruption des Speichers die Anwendung zum Absturz zu
bringen oder schlimmstenfalls beliebige Befehle zur Ausführung zu bringen.

CVE-2013-1714: Schwachstelle in Mozilla Firefox Web Workern

Mozilla Firefox Web Worker können die Same-Origin-Policy umgehen. Ein
entfernter Angreifer kann diese Schwachstelle zu
Cross-Site-Skripting-Angriffen ausnutzen.

CVE-2013-1709: Cross-Site-Skripting Schwachstelle in Mozilla Firefox

Mozilla Firefox behandelt die Interaktion zwischen Frames und der
Browser-Historie in unsicherer Weise. Ein entfernter Angreifer kann durch
diese Schwachstelle die Behandlung schädlicher Inhalte als der
Browser-Historie zugehörig veranlassen und damit
Cross-Site-Skripting-Angriffe durchführen.

CVE-2013-1701: Mehrere Schwachstellen in Mozilla Firefox

Mehrere Schwachstellen bestehen in Mozilla Firefox bei der Verarbeitung von
nicht-wohlgeformten Webinhalten. Ein entfernter Angreifer kann, wenn er den
Nutzer verleitet eine entsprechend manipulierte Seite aufzurufen, den
Web-Browser zum Absturz oder schlimmstenfalls beliebige Befehle mit den
Rechten des Nutzers zur Ausführung bringen.

CVE-2013-1710: Schwachstelle in Mozilla Firefox

Mozilla Firefox erzeugt Certificate Request Message Format (CRMF) Anfragen
fehlerhaft. Ein entfernter Angreifer kann diese Schwachstelle zu
Cross-Site-Skripting-Angriffen ausnutzen oder beliebige Befehle mit den
Rechten des Nutzers zur Ausführung bringen.

CVE-2013-1717: Schwachstelle bei der Behandlung von Java Applets in Mozilla
Firefox

Mozilla Firefox behandelt unter bestimmten Umständen Java Applets in
unsicherer Weise. Ein entfernter Angreifer kann diese Schwachstelle mit
einem manipulierten Java Applet ausnutzen, wenn dieses aus Firefox gestartet
wird, lesend auf Dateien des lokalen Systems des Nutzers zuzugreifen.

CVE-2013-1713: Schwachstelle in Mozilla Firefox

Mozilla Firefox behandelt Uniform Resource Identifiers (URI) in JavaScript
in unsicherer Weise und die Same-Origin-Policy kann umgangen werden. Ein
entfernter Angreifer kann diese Schwachstelle zu
Cross-Site-Skripting-Angriffen ausnutzen oder schädliche Add-Ons von
Dritt-Seiten installieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1534/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-security-announce

Schwachstelle CVE-2013-1701:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1701

Schwachstelle CVE-2013-1709:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1709

Schwachstelle CVE-2013-1710:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1710

Schwachstelle CVE-2013-1713:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1713

Schwachstelle CVE-2013-1714:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1714

Schwachstelle CVE-2013-1717:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1717

Schwachstelle CVE-2013-1702:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1702

Schwachstelle CVE-2013-1706:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1706

Schwachstelle CVE-2013-1707:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1707

Schwachstelle CVE-2013-1712:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1712

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben