Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Mozilla Firefox < 58.0.1 Betroffene Plattformen: Apple macOS GNU/Linux Microsoft Windows Ein entfernter, nicht authentisierter Angreifer kann vermutlich mit Hilfe einer präparierten Website und einer manipulierten CPV-Datei (Chrome Privileged Document) via Cross-Site-Scripting (XSS)-Angriff beliebigen Programmcode zur Ausführung bringen. Der Hersteller behebt die Schwachstelle mit der außerhalb der üblichen Release-Zyklen veröffentlichten Firefox Version 58.0.1 und stuft das Sicherheitsupdate als kritisch ein. Patch: Mozilla Foundation Security Advisory MFSA 2018-05 (Firefox 58.0.1) https://www.mozilla.org/en-US/security/advisories/mfsa2018-05/

CVE-2018-5124: Schwachstelle in Firefox ermöglicht Ausführung beliebigen
Programmcodes

In Firefox 58 existiert eine Schwachstelle im User Interface (UI) aufgrund
ungenügender Überprüfung von Eingaben. Infolgedessen wird der Inhalt von
CPV-Dateien (Chrome Privileged Document) nicht ausreichend bereinigt und
kann unter Umständen zur Ausführung gelangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0210/

Mozilla Foundation Security Advisory MFSA 2018-05 (Firefox 58.0.1):
https://www.mozilla.org/en-US/security/advisories/mfsa2018-05/

Mozilla Firefox 58.0.1 Release Notes:
https://www.mozilla.org/en-US/firefox/58.0.1/releasenotes/

Schwachstelle CVE-2018-5124 (Mozilla):
https://bugzilla.mozilla.org/show_bug.cgi?id=1432966

Schwachstelle CVE-2018-5124 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5124

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.