DFN-CERT-2015-0461 Mozilla Firefox: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Codes und das Umgehen von Sicherheitsvorkehrungen [Linux][Windows]

DFN-CERT-2015-0461 Mozilla Firefox: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Codes und das Umgehen von Sicherheitsvorkehrungen [Linux][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Mozilla Firefox < 37.0.1 Betroffene Plattformen: Apple Mac OS X GNU/Linux Google Android Operating System Microsoft Windows Zwei Schwachstellen in Mozilla Firefox vor Version 37.0.1 ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes und die Umgehung von Sicherheitsmaßnahmen. Die Schwachstelle CVE-2015-0798 betrifft lediglich Android und PreRelease-Versionen von Firefox. Patch: Mozilla Foundation Security Advisory MFSA 2015-43 https://www.mozilla.org/en-US/security/advisories/mfsa2015-43/

Patch:

Mozilla Foundation Security Advisory MFSA 2015-44

https://www.mozilla.org/en-US/security/advisories/mfsa2015-44/

CVE-2015-0799: Schwachstelle in Firefox in den HTTP Alternative Services
ermöglicht das Umgehen von Sicherheitsvorkehrungen

Die Implementierung der “HTTP Alternative Services” in Mozilla Firefox
enthält eine Schwachstelle, die die Verarbeitung von Alt-Svc-Headern
betrifft. Wenn Alt-Svc-Header in einer HTTP/2 Antwort spezifiziert werden,
besteht die Möglichkeit, dass die Überprüfung von SSL-Zertifikaten
bestimmter Server umgangen wird. Ein entfernter, nicht authentisierter
Angreifer kann die Schwachstelle zur Umgehung von Sicherheitsvorkehrungen
ausnutzen und in der Folge einen Man-in-the-Middle-Angriff durchführen.

CVE-2015-0798: Schwachstelle im Firefox Reader-Mode ermöglicht die
Ausführung beliebigen Programmcodes

Firefox für Android und PreRelease-Versionen von Firefox enthalten eine
Schwachstelle im Reader-Mode. Der Reader-Mode dient der Umformatierung von
Seiten, zwecks ihrer besseren Darstellbarkeit. Die Schwachstelle behandelt
privilegierte Webinhalte, die nicht korrekt dargestellt werden können,
fehlerhaft und stellt diese unter bestimmten Umständen im nicht
privilegierten Reader-Mode dar. Ein entfernter, nicht authentisierter
Angreifer kann die Schwachstelle dazu ausnutzen, um beliebigen Programmcode
mit den Rechten des Dienstes zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0461/

Mozilla Foundation Security Advisory MFSA 2015-43:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-43/

Mozilla Foundation Security Advisory MFSA 2015-44:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-44/

Schwachstelle CVE-2015-0798 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0798

Schwachstelle CVE-2015-0799 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0799

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben