DFN-CERT-2017-0485 Mozilla Firefox, Firefox ESR: Eine Schwachstelle ermöglicht einen nicht spezifizierten Angriff [Linux][RedHat][Apple][Windows]

DFN-CERT-2017-0485 Mozilla Firefox, Firefox ESR: Eine Schwachstelle ermöglicht einen nicht spezifizierten Angriff [Linux][RedHat][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Mozilla Firefox < 52.0.1 Mozilla Firefox ESR < 52.0.1 Betroffene Plattformen: Apple Mac OS X macOS Sierra GNU/Linux Google Android Operating System Microsoft Windows Oracle Linux 7 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.3 TUS Red Hat Enterprise Linux Workstation 7 In Mozilla Firefox und Firefox ESR existiert eine als 'kritisch' bewertete Schwachstelle, die es einem entfernten, nicht authentisierten Angreifer ermöglicht einen nicht näher spezifizierten Angriff durchführen. Die Ausführung beliebigen Programmcodes kann nicht ausgeschlossen werden, jedoch wird eine weitere Schwachstelle benötigt, um die Sandbox zu umgehen. Die Mozilla Foundation stellt den Browser Firefox sowie das Extended Support Release Firefox ESR in der Version 52.0.1 als Sicherheitsupdates zum Download bereit. Für Red Hat Enterprise Linux 7 in den Ausprägungen Desktop, Server und Workstation sowie für Red Hat Enterprise Linux Server TUS 7.3 stehen Sicherheitsupdates für Firefox bereit. Oracle stellt für Oracle Linux 7 (x86_64) die entsprechenden Sicherheitsupdates für den Firefox Browser zur Verfügung. Patch: Mozilla Foundation Security Advisory MFSA 2017-08 https://www.mozilla.org/en-US/security/advisories/mfsa2017-08/

Patch:

Oracle Linux Security Advisory ELSA-2017-0558

https://linux.oracle.com/errata/ELSA-2017-0558.html

Patch:

Red Hat Security Advisory RHSA-2017:0558

http://rhn.redhat.com/errata/RHSA-2017-0558.html

CVE-2017-5428: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
nicht näher spezifizierten Angriff

Eine nicht näher beschriebene Schwachstelle in der Funktion
‘createImageBitmap()’ von Mozilla Firefox und Firefox ESR ermöglicht es
einen Ganzzahlüberlauf (Integer Overflow) zu provozieren und diesen für
einen nicht näher spezifizierten Angriff auszunutzen. Da diese Funktion in
der Sandbox ausgeführt wird, wird zur aktiven Ausnutzung der Schwachstelle
eine weitere Schwachstelle benötigt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0485/

Mozilla Firefox Update Seite:
https://www.mozilla.org/de/firefox/new/

Mozilla Foundation Security Advisory MFSA 2017-08:
https://www.mozilla.org/en-US/security/advisories/mfsa2017-08/

Oracle Linux Security Advisory ELSA-2017-0558:
https://linux.oracle.com/errata/ELSA-2017-0558.html

Red Hat Security Advisory RHSA-2017:0558:
http://rhn.redhat.com/errata/RHSA-2017-0558.html

Oracle Linux Security Advisory ELSA-2017-0558:
https://linux.oracle.com/errata/ELSA-2017-0558.html

Schwachstelle CVE-2017-5428 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5428

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben