Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Mozilla Firefox < 51.0.3 for Android Betroffene Plattformen: Google Android Operating System Ein entfernter, nicht authentifzierter Angreifer kann mit Hilfe einer speziell präparierten Anwendung den Android-Zwischenspeicher (Cache) manipulieren, so dass von Firefox verwendete Bibliotheken durch eigene Versionen ersetzt werden. So können beispielsweise sensitive Informationen ausgespäht werden, auch die Ausführung beliebigen Programmcodes mit den Rechten des Firefox Browsers ist möglich. Die Mozilla Foundation informiert über die Schwachstelle und stellt die Version 51.0.3 von Firefox für Android bereit. Die Schwachstelle wird vom Hersteller als kritisch eingestuft. Patch: Mozilla Foundation Security Advisory MFSA 2017-04 https://www.mozilla.org/en-US/security/advisories/mfsa2017-04/

CVE-2017-5397: Schwachstelle in Firefox für Android ermöglicht Manipulation
von Dateien

Das Verzeichnis zur Zwischenspeicherung (Cache Directory) auf
Android-Geräten ist von jedem Benutzer manipulierbar (world-writable), der
Inhalt kann also beispielsweise durch speziell präparierte Anwendungen
verändert werden. Firefox für Android extrahiert Bibliotheken aus diesem
Zwischenspeicher.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0244/

Mozilla Foundation Security Advisory MFSA 2017-04:
https://www.mozilla.org/en-US/security/advisories/mfsa2017-04/

Schwachstelle CVE-2017-5397 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5397

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.