UPDATE: DFN-CERT-2014-0952 Mozilla Firefox, Thunderbird, Debian Iceweasel, Icedove: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Debian][RedHat]

UPDATE: DFN-CERT-2014-0952 Mozilla Firefox, Thunderbird, Debian Iceweasel, Icedove: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Debian][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (04.08.2014):
Für die Distribution Debian Wheezy wurde ein Sicherheitsupdate für Icedove
zur Verfügung gestellt. Icedove ist die Debian Version des Mozilla
Thunderbird.
Version 2 (28.07.2014):
Für die Distribution Debian Wheezy steht ein Sicherheitsupdate für
Iceweasel, die Debian Version des Mozilla Firefox Browsers, zur Verfügung,
welche zusätzlich auch die Schwachstelle CVE-2014-1544 benennt.
Version 1 (23.07.2014):
Neues Advisory

Betroffene Software:

Debian Icedove <= 24.6.0 Debian Iceweasel <= 24.6.0esr Mozilla Firefox <= 30 Mozilla Firefox ESR <= 24.6 Mozilla Thunderbird <= 24.6 Mozilla Thunderbird <= 30 Betroffene Plattformen: Debian Linux 7.5 Wheezy Debian Linux 7.6 Wheezy Red Hat Enterprise Linux 5 Server Red Hat Enterprise Linux 6 Server Red Hat Enterprise Linux 6 Workstation Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux Server 6.5 AUS Red Hat Enterprise Linux Server 6.5.z EUS Mehrere Schwachstellen in Mozilla Firefox und Thunderbird ermöglichen einem entfernten, nicht authentifizierten Angreifer die Durchführung von Denial-of-Service-Angriffen oder die Ausführung von beliebigem Programmcode mit Benutzerrechten. Patch: Red Hat Security Advisory RHSA-2014-0918 http://rhn.redhat.com/errata/RHSA-2014-0918.html

Patch:

Red Hat Security Advisory RHSA-2014-0919

http://rhn.redhat.com/errata/RHSA-2014-0919.html

Patch:

Debian Security Advisory DSA-2986-1

https://www.debian.org/security/2014/dsa-2986

Patch:

Debian Security Advisory DSA-2996-1

https://www.debian.org/security/2014/dsa-2996

CVE-2014-1557: Schwachstelle in Mozilla Firefox und Thunderbird erlaubt das
Ausführen beliebigen Programmcodes

Beim Skalieren von einem hochauflösenden Bild, durch Verwendung der Skia
Bibliothek, kann Firefox oder Thunderbird abstürzen. Ein entfernter, nicht
authentifizierter Angreifer kann, durch eine Web-Seite mit schädlichen
Inhalt, Denial-of-Service-Angriffe durchführen oder beliebigen Programmcode
mit Benutzerrechten zur Ausführung bringen. (Bei Thunderbird muss Skripting
aktiviert sein.)

CVE-2014-1556: Schwachstelle in Mozilla Firefox undThunderbird erlaubt das
Ausführen beliebigen Programmcodes

Es existiert eine Schwachstelle beim Generieren von WebGL-Inhalten mit der
Cesium JavaScript-Bibliothek. Ein entfernter, nicht authentifizierter
Angreifer kann, durch eine Web-Seite mit schädlichen Inhalt,
Denial-of-Service-Angriffe durchführen oder beliebigen Programmcode mit
Benutzerrechten zur Ausführung bringen. (Bei Thunderbird muss Skripting
aktiviert sein.)

CVE-2014-1555: Schwachstelle in Mozilla Firefox und Thunderbird erlaubt das
Ausführen beliebigen Programmcodes

Es existiert eine Use-after-free-Schwachstelle in Mozilla Firefox und
Thunderbird. Wird das FireOnStateChange-Event ausgelöst kann es das Programm
zum Absturz bringen. Ein entfernter, nicht authentifizierter Angreifer kann,
durch eine Web-Seite mit schädlichem Inhalt, Denial-of-Service-Angriffe
durchführen oder beliebigen Programmcode mit Benutzerrechten zur Ausführung
bringen. (Bei Thunderbird muss Skripting aktiviert sein.)

CVE-2014-1547: Memory-Safety-Schwachstelle in Mozilla erlaubt
Denial-of-Service und Ausführen beliebigen Programmcodes

Eine Memory-Safety-Schwachstelle wurde in den Mozilla-Produkten Firefox und
Thunderbird gefunden. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, indem er einen Benutzer dazu bringt, eine
speziell präparierte Webseite in seinem Firefox-Browser oder eine speziell
präparierte Nachricht in Thunderbird zu öffnen, während Skripting aktiviert
ist, um die Applikation zum Absturz zu bringen oder beliebigen Programmcode
mit den Rechten des Benutzers ausführen zu lassen.

CVE-2014-1544: Use-after-free-Schwachstelle in Mozilla NSS ermöglicht
Ausführung von beliebigem Programmcode

Es besteht eine Use-after-free-Schwachstelle bei der Zertifikatsvalidierung
in Mozillas Network Security Services. Wenn das Scripting auf Nutzerseite
aktiviert ist, kann ein entfernter, nicht authentisierter Angreifer die
Schwachstelle dazu nutzen beliebigen Programmcode mit den Rechten des
Benutzers auszuführen oder die Anwendung zum Absturz zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0952/

Red Hat Security Advisory RHSA-2014-0918:
http://rhn.redhat.com/errata/RHSA-2014-0918.html

Red Hat Security Advisory RHSA-2014-0919:
http://rhn.redhat.com/errata/RHSA-2014-0919.html

Schwachstelle CVE-2014-1544 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1544

Schwachstelle CVE-2014-1547 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1547

Schwachstelle CVE-2014-1555 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1555

Schwachstelle CVE-2014-1556 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1556

Schwachstelle CVE-2014-1557 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1557

Debian Security Advisory DSA-2986-1:
https://www.debian.org/security/2014/dsa-2986

Debian Security Advisory DSA-2996-1:
https://www.debian.org/security/2014/dsa-2996

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben