Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Mozilla Firefox < 51 Mozilla Firefox ESR < 45.7.0 Tor Browser < 6.5 Tor Browser < 7.0a1 Tor Browser < 7.0a1-hardened Tor Tails < 2.10 Betroffene Plattformen: Apple Mac OS X macOS Sierra GNU/Linux Google Android Operating System Microsoft Windows Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.3 TUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 24 Red Hat Fedora 25 Mehrere Schwachstellen ermöglichen auch einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, Umgehen von Sicherheitsvorkehrungen, Ausspähen von Informationen, Darstellen falscher Informationen, Eskalieren von Privilegien sowie die Durchführung von Denial-of-Service (DoS)- und Cross-Site-Scripting (XSS)-Angriffen. Die Schwachstellen CVE-2017-5392, CVE-2017-5394 und CVE-2017-5395 betreffen ausschließlich Firefox for Android. Die Mozilla Foundation stellt den Browser Firefox in Version 51 und das Extended Support Release Firefox ESR 45.7 bereit, um die Schwachstellen zu beheben. Das Tor Browser Projekt veröffentlicht die auf Firefox ESR 45.7 basierenden Tor Browser 6.5, alpha Tor Browser 7.0a1, hardened Tor Browser 7.0a1-hardened und Tails 2.10, um die entsprechenden Schwachstellen zu beheben. Zusätzlich werden durch die neuen Tor-Versionen weitere Schwachstellen in anderen Komponenten adressiert. Für Red Hat Enterprise Linux 5, 6 und 7 stehen Sicherheitsupdates für Firefox auf ESR 45.7 bereit, um die Schwachstellen CVE-2017-5373, CVE-2017-5375, CVE-2017-5376, CVE-2017-5378, CVE-2017-5380, CVE-2017-5383, CVE-2017-5386, CVE-2017-5390 und CVE-2017-5396 zu beheben. Für Fedora 24 und 25 steht die neue Version 51.0 von Firefox als Sicherheitsupdate zur Verfügung; für Fedora 24 im Status 'testing' und für Fedora 25 im Status 'pending'. Patch: Fedora Security Update FEDORA-2017-36b325dac3 (Fedora 25, firefox-51.0-3.fc25) https://bodhi.fedoraproject.org/updates/FEDORA-2017-36b325dac3
Patch:
Fedora Security Update FEDORA-2017-5df7a4018c (Fedora 24,
firefox-51.0-3.fc24)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-5df7a4018c
Patch:
Mozilla Foundation Security Advisory MFSA 2017-01 (Firefox 51)
https://www.mozilla.org/en-US/security/advisories/mfsa2017-01/
Patch:
Mozilla Foundation Security Advisory MFSA 2017-02 (Firefox ESR 45.7)
https://www.mozilla.org/en-US/security/advisories/mfsa2017-02/
Patch:
Red Hat Security Advisory RHSA-2017:0190
http://rhn.redhat.com/errata/RHSA-2017-0190.html
Patch:
Tails 2.10 Release Notes
https://blog.torproject.org/blog/tails-210-out
Patch:
Tor Browser 6.5 Release Notes
https://blog.torproject.org/blog/tor-browser-65-released
Patch:
Tor Browser 7.0a1 Release Notes
https://blog.torproject.org/blog/tor-browser-70a1-released
Patch:
Tor Browser 7.0a1-hardened Release Notes
https://blog.torproject.org/blog/tor-browser-70a1-hardened-released
CVE-2017-5396: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Ausführung beliebigen Programmcodes
Es besteht eine Use-after-free-Schwachstelle beim Umgang mit Mediendateien
im Media Decoder in Mozilla Firefox und Firefox ESR, wenn bei der Freigabe
von Speicher bestimmte Events ausgelöst werden. Ein entfernter, nicht
authentisierter Angreifer kann durch die Ausnutzung der Schwachstelle
beliebigen Programmcode zur Ausführung bringen.
CVE-2017-5395: Schwachstelle in Mozilla Firefox for Android ermöglicht
Darstellen falscher Informationen
In Mozilla Firefox for Android besteht eine Schwachstelle, wodurch eine
gefälschte ‘Location Bar’ (Spoofing) auf einer anschließend geladenen
Webseite dargestellt werden kann. Ein entfernter, nicht authentisierter
Angreifer kann durch das Ausnutzen der Schwachstelle Informationen falsch
darstellen.
CVE-2017-5394: Schwachstelle in Mozilla Firefox for Android ermöglicht
Darstellen falscher Informationen
In Mozilla Firefox for Android besteht eine Schwachstelle bedingt durch eine
Serie von JavaScript-Events, die in Kombination mit dem Vollbildmodus dazu
führen kann, dass die ‘Location Bar’ einer bereits geladenen Webseite über
dem Inhalt eines anderen Tabs angezeigt wird. Ein entfernter, nicht
authentisierter Angreifer kann durch das Ausnutzen der Schwachstelle
Informationen falsch darstellen (Spoofing).
CVE-2017-5393: Schwachstelle in Mozilla Firefox ermöglicht
Cross-Site-Scripting-Angriff
Eine Schwachstelle in Mozilla Firefox ermöglicht es einer bösartig
präparierten Erweiterung in einem Cross-Site-Scripting-Angriff auf die
Mozilla AMO Seite (Mozilla Addons) über den ‘mozAddonManager’ zusätzliche
Erweiterungen zu installieren. Ein entfernter, nicht authentisierter
Angreifer kann einen Cross-Site-Scripting-Angriff durchführen.
CVE-2017-5392: Schwachstelle in Mozilla Firefox for Android ermöglicht
Denial-of-Service-Angriff
In Mozilla Firefox for Android besteht eine Schwachstelle, da schwache
Proxy-Objekte schwache Referenzen auf mehreren Threads haben können, obwohl
dies nur bei einem Thread der Fall sein sollte. Die Folge ist eine falsche
Speicherbehandlung und eine mögliche Speicherkorruption, welche wiederum
einen Absturz der Anwendung zur Folge haben kann. Ein entfernter, nicht
authentisierter Angreifer kann einen Denial-of-Service-Angriff durchführen.
CVE-2017-5391: Schwachstelle in Mozilla Firefox ermöglicht
Privilegieneskalation
Laden spezielle ‘about:’-Seiten, die von Web-Inhalte, wie RSS-Feeds,
verwendet werden, privilegierte ‘about:-Seiten in iFrames, kann dies in
Kombination mit einer Content-Injection-Schwachstelle zu einer
Privilegieneskalation führen. Ein entfernter, nicht authentisierter
Angreifer kann mit einer bösartig präparierten Webseite Privilegien
eskalieren.
CVE-2017-5390: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Privilegieneskalation
Der JSON-Viewer in den Developer Tools in Mozilla Firefox und Firefox ESR
verwendet für das Kopieren und Ansehen von JSON- und HTTP-Header-Daten
unsichere Methoden bei der Erstellung eines Kommunikationskanals. Ein
entfernter, nicht authentisierter Angreifer kann durch das Ausnutzen der
Schwachstelle Privilegien eskalieren.
CVE-2017-5389: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen
Eine Schwachstelle in Mozilla Firefox ermöglicht es Web-Erweiterungen die
mozAddonManager-API zur Modifikation von Cotent-Security-Policy
(CSP)-Headern zu verwenden. Dadurch können Host-Anfragen für das Laden von
Skripten auf bösartig manipulierte Webseiten umgeleitet werden, wodurch die
Installation zusätzlicher Erweiterungen ohne weitere Benutzerzustimmung
ermöglicht wird. Ein entfernter, nicht authentisierter Angreifer kann über
eine bösartig präparierte Web-Erweiterung Sicherheitsvorkehrungen umgehen.
CVE-2017-5388: Schwachstelle in Mozilla Firefox ermöglicht
Denial-of-Service-Angriff
Aufgrund einer unzureichenden Datenraten-Begrenzung besteht eine
Schwachstelle in der WebRTC-Implementierung in Mozilla Firefox, die es
ermöglicht, über einem STUN-Server (Session Traversal Utilities for NAT) in
Verbindung mit einer großen Anzahl an
‘webkitRTCPeerConnection’-Verbindungen, große STUN-Datenpakete in kurzer
Zeit zu versenden und eine Anwendung durch die Last in einen
Denial-of-Service-Zustand zu versetzen. Ein entfernter, nicht
authentisierter Angreifer kann einen Denial-of-Service-Angriff durchführen.
CVE-2017-5387: Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von
Informationen
In Mozilla Firefox besteht eine Schwachstelle, die es ermöglicht die
Existent einer speziell angeforderten lokalen Datei aufgrund der doppelten
Auslösung des ‘onerror’ nachzuweisen, wenn das Quellattribut auf einem
CVE-2017-5386: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
u.a. Privilegieneskalation
In Mozilla Firefox und Firefox ESR besteht eine Schwachstelle, die dazu
führt, dass Web-Erweiterungen mit Hilfe von Skripten unter der Verwendung
des ‘data:’-Protokolls in anderen Erweiterungen geladene Web-Inhalte
ausspähen oder Privilegien innerhalb dieser Erweiterung eskalieren können.
Ein entfernter, nicht authentisierter Angreifer kann über eine bösartig
manipulierte Web-Erweiterung Informationen ausspähen oder Privilegien
eskalieren.
CVE-2017-5385: Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von
Informationen
Wenn Daten über einen mehrteiligen Kanal, wie beispielsweise
‘multipart/x-mixed-replace MIME type’, versendet werden, wird der
“Referrer-Policy-Response-Header’ ignoriert. Dadurch können Informationen
über Seiten offengelegt werden, die diesen Header verwenden. Ein entfernter,
nicht authentisierter Angreifer kann Informationen ausspähen.
CVE-2017-5384: Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von
Informationen
In Mozilla Firefox besteht eine Schwachstelle, wenn Web Proxy Auto Detect
(WPAD) aktiviert ist. Dadurch ist es möglich eine bösartig präparierte Proxy
Auto-Config (PAC)-Datei entfernt (remote) bereitzustellen, die für sämtliche
URL-Anfragen eine JavaScript-Funktion aufruft und den vollständige URL-Pfad
offenlegt. Dadurch werden im Falle von HTTPS mehr Informationen an den Proxy
gesendet, als das normalerweise der Fall ist. Ein nicht authentisierter
Angreifer im benachbarten Netzwerk kann Informationen ausspähen.
CVE-2017-5383: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Darstellen falscher Informationen
Eine Schwachstelle in Mozilla Firefox und Firefox ESR bewirkt, dass bei der
Darstellung bestimmter URL’s mit Unicode Glyphen, welche alternative
Bindestriche und Anführungszeichen beinhalten, die Punycode-Anzeige nicht
ordnungsgemäß ausgelöst wird. Dies ermöglicht es einem entfernten, nicht
authentisierten Angreifer die Domainnamen in der ‘Location Bar’ falsch
darzustellen (Spoofing).
CVE-2017-5382: Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von
Informationen
Die Vorschaufunktion für RSS-Feeds kann dazu ausgenutzt werden,
Fehlermeldungen und Ausnahmebehandlungen zu sammeln und offenzulegen, die
durch privilegierte Inhalte erstellt wurden und nicht für Webinhalte
einsehbar sein sollten. Ein entfernter, nicht authentisierter Angreifer kann
durch das Ausnutzen der Schwachstelle interne Informationen sammeln und
ausspähen.
CVE-2017-5381: Schwachstelle in Mozilla Firefox ermöglicht
Privilegieneskalation
In der Export-Funktion des ‘Certificate Viewer’ von Mozilla Firefox besteht
eine Schwachstelle, wenn der ‘Common Name’ Schrägstriche (‘/’) enthält, die
es ermöglicht, die Navigation durch das lokale Dateisystem zu erzwingen und
Zertifikatsinhalte an einem beliebigen Ort unter einem beliebigen Dateinamen
abzuspeichern. Ein lokaler, nicht authentisierter Angreifer kann Privilegien
eskalieren und Dateien an beliebigen Orten im Dateisystem ablegen.
CVE-2017-5380: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Ausführung beliebigen Programmcodes
Es besteht eine nicht näher beschriebene Schwachstelle in Mozilla Firefox
und Firefox ESR, die bei der Dynamic Object Model (DOM)-Manipulation von
Scalable Vector Graphics (SVG)-Inhalten auftritt und die Weiterverwendung
freigegebenen Speichers (Use-after-free) ermöglicht. Ein entfernter, nicht
authentisierter Angreifer kann durch die Ausnutzung der Schwachstelle
beliebigen Programmcode zur Ausführung bringen.
CVE-2017-5379: Schwachstelle in Mozilla Firefox ermöglicht Ausführung
beliebigen Programmcodes
Es besteht eine nicht näher beschriebene Schwachstelle in Mozilla Firefox,
im Kontext der Darstellung von Web-Animationen, welche die Weiterverwendung
bereits freigegebenen Speichers (Use-after-free) ermöglicht. Ein entfernter,
nicht authentisierter Angreifer kann durch die Ausnutzung der Schwachstelle
beliebigen Programmcode zur Ausführung bringen.
CVE-2017-5378: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Ausspähen von Informationen
In Mozilla Firefox und Firefox ESR besteht eine Schwachstelle beim Austausch
von JavaScript-Objekt-Hashcodes zwischen Webseiten, durch die es möglich
ist, Zeiger im Hashcode zu identifizieren (Pointer Leaks) und die mit den
Zeigern referenzierten Daten auszuspähen. Ein entfernter, nicht
authentisierter Angreifer kann Informationen ausspähen.
CVE-2017-5377: Schwachstelle in Mozilla Firefox ermöglicht
Denial-of-Service-Angriff
Es besteht eine nicht näher beschriebene Schwachstelle in der Komponente
Skia in Mozilla Firefox, die bei der Verwendung einer Transformation zur
Erstellung von Gradienten entsteht und es ermöglicht einen Absturz der
Anwendung zu verursachen. Ein entfernter, nicht authentisierter Angreifer
kann einen Denial-of-Service-Angriff durchführen.
CVE-2017-5376: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Ausführung beliebigen Programmcodes
Es besteht eine nicht näher beschriebene Schwachstelle in Mozilla Firefox
und Firefox ESR, bezüglich der Manipulation von Extensible Stylesheet
Language (XSL)-Dokumenten, die eine Weiterverwendung freigegebenen Speichers
(Use-after-free) ermöglicht. Ein entfernter, nicht authentisierter Angreifer
kann durch die Ausnutzung der Schwachstelle beliebigen Programmcode zur
Ausführung bringen.
CVE-2017-5375: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Umgehen von Sicherheitsvorkehrungen
Es besteht eine nicht näher beschriebene Schwachstelle in Mozilla Firefox
und Firefox ESR, die durch die exzessive Allokation von Just-in-Time
(JIT)-Programmcode entsteht und das Umgehen der Address Space Layout
Randomization (ASLR)- und Data Execution Prevention (DEP)-Schutzvorkehrungen
ermöglicht. Ein entfernter, nicht authentisierter Angreifer kann durch das
Ausnutzen der Schwachstelle Sicherheitsvorkehrung umgehen und dadurch
weitere Angriffe vorbereiten.
CVE-2017-5374: Schwachstellen in Mozilla Firefox ermöglichen Ausführung
beliebigen Programmcodes
Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla
Firefox, die zu Speicherfehlern führen können (Memory Safety Bugs). Dazu
können beispielsweise Pufferüberläufe, Fehler bei der dynamischen
Speicherverwaltung, nicht initialisierte Variablen und die Erschöpfung von
Speicher gehören. Der Hersteller geht davon aus, dass einige der
Schwachstellen von einem entfernten, nicht authentifizierten Angreifer für
die Ausführung beliebigen Programmcodes ausgenutzt werden können.
CVE-2017-5373: Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen
Ausführung beliebigen Programmcodes
Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla
Firefox und Firefox ESR, die zu Speicherfehlern führen können (Memory Safety
Bugs). Dazu können beispielsweise Pufferüberläufe, Fehler bei der
dynamischen Speicherverwaltung, nicht initialisierte Variablen und die
Erschöpfung von Speicher gehören. Der Hersteller geht davon aus, dass einige
der Schwachstellen von einem entfernten, nicht authentifizierten Angreifer
für die Ausführung beliebigen Programmcodes ausgenutzt werden können.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0142/
Mozilla Firefox Update Seite:
https://www.mozilla.org/de/firefox/new/
Fedora Security Update FEDORA-2017-36b325dac3 (Fedora 25, firefox-51.0-3.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-36b325dac3
Fedora Security Update FEDORA-2017-5df7a4018c (Fedora 24, firefox-51.0-3.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-5df7a4018c
Mozilla Foundation Security Advisory MFSA 2017-01 (Firefox 51):
https://www.mozilla.org/en-US/security/advisories/mfsa2017-01/
Mozilla Foundation Security Advisory MFSA 2017-02 (Firefox ESR 45.7):
https://www.mozilla.org/en-US/security/advisories/mfsa2017-02/
Red Hat Security Advisory RHSA-2017:0190:
http://rhn.redhat.com/errata/RHSA-2017-0190.html
Tails 2.10 Release Notes:
https://blog.torproject.org/blog/tails-210-out
Tor Browser 6.5 Release Notes:
https://blog.torproject.org/blog/tor-browser-65-released
Tor Browser 7.0a1 Release Notes:
https://blog.torproject.org/blog/tor-browser-70a1-released
Tor Browser 7.0a1-hardened Release Notes:
https://blog.torproject.org/blog/tor-browser-70a1-hardened-released
Schwachstelle CVE-2017-5373 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5373
Schwachstelle CVE-2017-5374 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5374
Schwachstelle CVE-2017-5375 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5375
Schwachstelle CVE-2017-5376 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5376
Schwachstelle CVE-2017-5377 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5377
Schwachstelle CVE-2017-5378 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5378
Schwachstelle CVE-2017-5379 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5379
Schwachstelle CVE-2017-5380 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5380
Schwachstelle CVE-2017-5381 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5381
Schwachstelle CVE-2017-5382 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5382
Schwachstelle CVE-2017-5383 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5383
Schwachstelle CVE-2017-5384 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5384
Schwachstelle CVE-2017-5385 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5385
Schwachstelle CVE-2017-5386 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5386
Schwachstelle CVE-2017-5387 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5387
Schwachstelle CVE-2017-5388 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5388
Schwachstelle CVE-2017-5389 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5389
Schwachstelle CVE-2017-5390 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5390
Schwachstelle CVE-2017-5391 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5391
Schwachstelle CVE-2017-5392 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5392
Schwachstelle CVE-2017-5393 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5393
Schwachstelle CVE-2017-5394 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5394
Schwachstelle CVE-2017-5395 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5395
Schwachstelle CVE-2017-5396 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5396
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
