DFN-CERT-2014-1466 Mozilla Firefox: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][SuSE]

DFN-CERT-2014-1466 Mozilla Firefox: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Mozilla Firefox ESR <= 31.1 Betroffene Plattformen: SUSE Software Development Kit 11 SP3 Enterprise SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Server 11 SP2 LTSS SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware Mehrere Schwachstellen in Mozilla Firefox ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes mit Benutzerrechten, die Durchführung von Denial-of-Service-Angriffen, das Ausspähen von sensiblen Informationen und das Umgehen von Sicherheitsvorkehrungen. Die Schwachstellen werden für die SUSE Linux Enterprise 11 SP3 Produkte Desktop, Server, Server für VMware und Software Development Kit sowie SUSE Linux Enterprise Server 11 SP2 LTSS durch ein Sicherheitsupdate auf die Version Mozilla Firefox 31.2.0 ESR behoben. Patch: SUSE Security Update: SUSE-SU-2014:1385-1 http://lists.opensuse.org/opensuse-security-announce/2014-11/msg00005.html

CVE-2014-1586: Schwachstelle in Mozilla Firefox & Thunderbird erlaubt
Ausspähen von Informationen

Eine Schwachstelle in den Mozilla Produkten Firefox, Firefox ESR und
Thunderbird besteht in Verbindung mit Video-Sharing über WebRTC in
sogenannten “iframes”, wobei das Video weiterhin geteilt wird, nachdem es
gestoppt und zu einer neuen Webseite navigiert wurde. Außerdem wird die
Kamera in dem Fall nicht abgeschaltet. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Zugriff
auf die Kamera zu erlangen ohne dass der Benutzer dieses bemerkt.

CVE-2014-1585: Schwachstelle in Mozilla Firefox & Thunderbird erlaubt
Ausspähen von Informationen

Eine Schwachstelle in den Mozilla Produkten Firefox, Firefox ESR und
Thunderbird besteht in Verbindung mit Video-Sharing über WebRTC in
sogenannten “iframes”, wobei das Video weiterhin geteilt wird, nachdem es
gestoppt und zu einer neuen Webseite navigiert wurde. Die “stop
sharing”-Option in der Video-Sharing-Kontrolle in der URL-Zeile hat keinen
Einfluss auf “iframes”. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um Informationen auszuspähen.

CVE-2014-1575: Schwachstellen in Mozilla Firefox & Thunderbird erlauben
Denial-of-Service und Ausführen beliebigen Programmcodes

Mehrere Schwachstellen in der Browser Engine der Mozilla Produkte Firefox,
Firefox ESR und Thunderbird beeinträchtigen die Speichersicherheit (“memory
safety”). Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstellen ausnutzen, indem er einen Benutzer dazu bringt, eine speziell
präparierte Webseite in dessen Browser zu öffnen, um einen Absturz der
Applikation zu verursachen (partieller Denial-of-Service) oder beliebigen
Programmcode mit Benutzerrechten ausführen zu lassen.

CVE-2014-1583: Schwachstelle in Firefox erlaubt Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in Firefox besteht darin, dass Web-Applikationen die
Alarm-API verwenden können, um die Werte von Herkunftsquerverweisen
(“cross-origin references”) auszulesen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, indem er
einen Benutzer dazu bringt eine speziell präparierte Web-Applikation zu
installieren, um die “same-origin”-Beschränkungen zu umgehen.

CVE-2014-1581: Use-after-free-Schwachstelle in Mozilla Firefox & Thunderbird

Eine Schwachstelle in den Mozilla Produkten Firefox, Firefox ESR und
Thunderbird erlaubt unter manchen Umständen während des Textlayouts
freigegebenen Speicher zu verwenden (“use-after-free”). Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, indem
er einen Benutzer dazu bringt, eine speziell präparierte Webseite in dessen
Browser zu öffnen, um einen Absturz der Applikation zu verursachen
(partieller Denial-of-Service) oder beliebigen Programmcode mit
Benutzerrechten ausführen zu lassen.

CVE-2014-1578: Schwachstelle in Mozilla Firefox & Thunderbird ermöglicht
Denial-of-Service und Ausführen beliebigen Programmcodes

Eine Schwachstelle in den Mozilla Produkten Firefox, Firefox ESR und
Thunderbird erlaubt unter manchen Umständen das Schreiben außerhalb von
Speicherbegrenzungen (“out-of-bounds write”), wenn WebM Videos
zwischengespeichert werden. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, indem er einen Benutzer dazu
bringt, eine speziell präparierte Webseite in dessen Browser zu öffnen, um
einen Absturz der Applikation zu verursachen (partieller Denial-of-Service)
oder beliebigen Programmcode mit Benutzerrechten ausführen zu lassen.

CVE-2014-1577: Schwachstelle in Mozilla Firefox & Thunderbird ermöglicht
Ausspähen von Information

Eine Schwachstelle in den Mozilla Produkten Firefox, Firefox ESR und
Thunderbird erlaubt das Lesen außerhalb von Speicherbegrenzungen
(“out-of-bounds read”) mit Web Audio. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, indem er
einen Benutzer dazu bringt, eine speziell präparierte Webseite in dessen
Browser zu öffnen, um sensible Informationen auszuspähen.

CVE-2014-1576: Pufferspeicherüberlauf-Schwachstelle in Mozilla Firefox &
Thunderbird

Eine Schwachstelle in den Mozilla Produkten Firefox, Firefox ESR und
Thunderbird führt zu einem Pufferspeicherüberlauf (“buffer overflow”)
während Manipulationen von CSS. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, indem er einen Benutzer dazu
bringt, eine speziell präparierte Webseite in dessen Browser zu öffnen, um
einen Absturz der Applikation zu verursachen (partieller Denial-of-Service)
oder beliebigen Programmcode mit Benutzerrechten ausführen zu lassen.

CVE-2014-1574: Schwachstellen in Mozilla Firefox & Thunderbird erlauben
Denial-of-Service und Ausführen beliebigen Programmcodes

Mehrere Schwachstellen in der Browser Engine der Mozilla Produkte Firefox,
Firefox ESR und Thunderbird beeinträchtigen die Speichersicherheit (“memory
safety”). Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstellen ausnutzen, indem er einen Benutzer dazu bringt, eine speziell
präparierte Webseite in dessen Browser zu öffnen, um einen Absturz der
Applikation zu verursachen (partieller Denial-of-Service) oder beliebigen
Programmcode mit Benutzerrechten ausführen zu lassen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1466/

Schwachstelle CVE-2014-1574 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1574

Schwachstelle CVE-2014-1575 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1575

Schwachstelle CVE-2014-1576 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1576

Schwachstelle CVE-2014-1577 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1577

Schwachstelle CVE-2014-1578 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1578

Schwachstelle CVE-2014-1581 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1581

Schwachstelle CVE-2014-1583 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1583

Schwachstelle CVE-2014-1585 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1585

Schwachstelle CVE-2014-1586 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1586

SUSE Security Update: SUSE-SU-2014:1385-1:
http://lists.opensuse.org/opensuse-security-announce/2014-11/msg00005.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben