DFN-CERT-2017-2195 Mozilla Firefox: Zwei Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora][Apple][Windows]

DFN-CERT-2017-2195 Mozilla Firefox: Zwei Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Mozilla Firefox < 57.0.1 Betroffene Plattformen: Apple macOS GNU/Linux Microsoft Windows Red Hat Fedora 25 Red Hat Fedora 26 Red Hat Fedora 27 Eine Schwachstelle in Mozilla Firefox ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen. Eine weitere Schwachstelle, die allerdings nur in der Firefox Version 57 existiert, ermöglicht einem solchen Angreifer zusätzlich das Ausspähen von Informationen. Der Hersteller behebt die beiden Schwachstellen mit der außerhalb der üblichen Release-Zyklen veröffentlichten Firefox Version 57.0.1 und stuft das Sicherheitsupdate als kritisch ein, obwohl die Kritikalität der einzelnen behobenen Schwachstellen 'nur' jeweils mit 'high' bewertet wird. Für die Distributionen Fedora 25, 26 und 27 stehen Sicherheitsupdates auf diese Firefox Version im Status 'testing' zur Verfügung. Patch: Fedora Security Update FEDORA-2017-1be05999bb (Fedora 26, firefox-57.0.1-1.fc26) https://bodhi.fedoraproject.org/updates/FEDORA-2017-1be05999bb

Patch:

Fedora Security Update FEDORA-2017-2c15e19fb5 (Fedora 25,
firefox-57.0.1-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-2c15e19fb5

Patch:

Fedora Security Update FEDORA-2017-bfd2d4afce (Fedora 27,
firefox-57.0.1-1.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-bfd2d4afce

Patch:

Mozilla Foundation Security Advisory MFSA 2017-27 (Firefox 57.0.1)

https://www.mozilla.org/en-US/security/advisories/mfsa2017-27/

CVE-2017-7844: Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in Mozilla Firefox 57 besteht aufgrund einer Kombination
einer von einer Seite referenzierten Scalable Vector Grafik (SVG) und der
Kolorierung von Anker-Links (Anchor Links), zum Sprung an eine spezifische
Stelle einer Seite, die in dieser Grafik gespeichert werden. Ein entfernter,
nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um
Informationen über die Historie der besuchten Webseiten auszuspähen. Der
Hersteller bewertet die Kritikalität der Schwachstelle mit ‘high’.

CVE-2017-7843: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in Mozilla Firefox besteht, wenn der ‘Private Browsing
Mode’ genutzt wird. Dieser Modus soll beim Browsen im Internet verhindern,
dass Informationen über die besuchten Seiten gespeichert werden. Aufgrund
der Schwachstelle ist es einem Web Worker (ein Web Worker ermöglicht es,
Skripte im Hintergrund der eigentlichen Web-Anwendung laufen zu lassen)
persistente Daten in die IndexedDB zu schreiben und einen Benutzer eindeutig
zu identifizieren. Die IndexedDB sollte im ‘Private Browsing Mode’ nicht
verfügbar sein. Die gespeicherten Daten werden über multiple ‘Private
Browsing Mode’-Sitzungen gespeichert, da der Speicher nicht geleert wird,
wenn eine Sitzung beendet wird.
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, um intendierte Sicherheitsvorkehrungen zu umgehen. Der Hersteller
bewertet die Kritikalität der Schwachstelle mit ‘high’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2195/

Fedora Security Update FEDORA-2017-1be05999bb (Fedora 26,
firefox-57.0.1-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-1be05999bb

Fedora Security Update FEDORA-2017-2c15e19fb5 (Fedora 25,
firefox-57.0.1-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2c15e19fb5

Fedora Security Update FEDORA-2017-bfd2d4afce (Fedora 27,
firefox-57.0.1-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-bfd2d4afce

Mozilla Foundation Security Advisory MFSA 2017-27 (Firefox 57.0.1):
https://www.mozilla.org/en-US/security/advisories/mfsa2017-27/

Schwachstelle CVE-2017-7843 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7843

Schwachstelle CVE-2017-7844 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7844

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben