UPDATE: DFN-CERT-2014-1140 Mozilla-Anwendungen: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][SuSE][Windows]

UPDATE: DFN-CERT-2014-1140 Mozilla-Anwendungen: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][SuSE][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (09.09.2014):
openSUSE hat Sicherheitsupdates für die Distributionen openSUSE 12.3 und
openSUSE 13.1 veröffentlicht. Die Schwachstelle CVE-2014-1554 wird in den
Sicherheitsupdates für Firefox und Thunderbird nicht aufgelistet.
Version 2 (03.09.2014):
Ubuntu hat Sicherheitsupdates für die Distributionen Ubuntu 12.04 LTS und
14.04 LTS veröffentlicht.
Version 1 (03.09.2014):
Neues Advisory

Betroffene Software:

Mozilla Firefox < 32 Mozilla Firefox ESR < 24.8 Mozilla Firefox ESR < 31.1 Mozilla Thunderbird < 24.8 Mozilla Thunderbird < 31.1 Betroffene Plattformen: Apple Mac OS Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts GNU/Linux Microsoft Windows openSUSE 12.3 openSUSE 13.1 Durch mehrere Schwachstellen in den Mozilla-Anwendungen Firefox, Firefox ESR und Thunderbird kann ein entfernter, nicht authentifizierter Angreifer beliebigen Programmcode ausführen, Informationen ausspähen oder Denial-of-Service Angriffe durchführen. Patch: Mozilla Foundation Security Advisory MFSA 2014-67 http://www.mozilla.org/security/announce/2014/mfsa2014-67.html

Patch:

Mozilla Foundation Security Advisory MFSA 2014-68

http://www.mozilla.org/security/announce/2014/mfsa2014-68.html

Patch:

Mozilla Foundation Security Advisory MFSA 2014-69

http://www.mozilla.org/security/announce/2014/mfsa2014-69.html

Patch:

Mozilla Foundation Security Advisory MFSA 2014-70

http://www.mozilla.org/security/announce/2014/mfsa2014-70.html

Patch:

Mozilla Foundation Security Advisory MFSA 2014-72

http://www.mozilla.org/security/announce/2014/mfsa2014-72.html

Patch:

Ubuntu Security Notice USN-2329-1

http://www.ubuntu.com/usn/usn-2329-1/

Patch:

openSUSE Security Update: openSUSE-SU-2014:1099-1

http://lists.opensuse.org/opensuse-updates/2014-09/msg00011.html

Patch:

openSUSE Security Update: openSUSE-SU-2014:1098-1

http://lists.opensuse.org/opensuse-updates/2014-09/msg00010.html

CVE-2014-1567: Schwachstelle in Firefox und Thunderbird ermöglicht das
Ausführen beliebigen Programmcodes

Es existiert eine Use-after-free-Schwachstelle beim Text-Layout in Mozilla
Firefox und Thunderbird bei der Interaktion mit der Einstellung der
Textrichtung. Ein entfernter, nicht authentifizierter Angreifer kann
beliebigen Programmcode zur Ausführung bringen.

CVE-2014-1565: Schwachstelle in Firefox und Thunderbird ermöglicht u.a. das
Ausspähen von Informationen

Es existiert eine Schwachstelle in Mozilla Firefox und Thunderbird, bei der
es zur einem Lesen über Speichergrenzen bei der Erstellung einer
Audio-Timeline in Web Audio kommt. Ein entfernter, nicht authentifizierter
Angreifer kann Denial-of-Service-Angriffe durchführen oder zufällige Werte
des Speichers ausspähen.

CVE-2014-1564: Schwachstelle in Firefox und Thunderbird ermöglicht das
Ausspähen von Informationen

Es existiert eine Schwachstelle in Mozilla Firefox und Thunderbird, bei der
ungültig strukturierte GIF-Bilder den Speicher vor dem Gebrauch nicht
richtig initialisiert werden. Der nicht initialisierte Speicher wird beim
Berechnen von Bildern genutzt. Ein entfernter, nicht authentifizierter
Angreifer kann, mit Hilfe eines Webskripts unter Zuhilfenahme der
Canvas-Funktion und speziell präparierten GIF-Bildern, auf nicht
initialisierten Speicher zugreifen und anschließen Informationen ausspähen.

CVE-2014-1563: Schwachstelle ermöglicht die Ausführung von beliebigen
Programmcode mit den Rechten des Nutzers

Es besteht eine Use-After-Free Schwachstelle in verschiedenen
Mozillaprodukten, die bei der Interaktion zwischen Document-Object-Modelen
(DOM) und animierten Scalable-Vector-Grafiken (SVG) zu einem
Denial-of-Service-Zustand führen kann. Ein entfernter, nicht
authentisierter Angreifer kann, unter Verwendung einer speziell präparierten
Webseite, die Schwachstelle dazu ausnutzen, beliebigen Programmcode mit den
Rechten des Nutzers auszuführen.

CVE-2014-1553 CVE-2014-1554 CVE-2014-1562: Schwachstellen ermöglichen die
Ausführung von beliebigen Programmcode mit den Rechten des Benutzers

Es besteht eine Schwachstelle hinsichtlich der Speichersicherheit in der von
verschiedenen Mozilla-Produkten genutzten Browser Engine. Ein entfernter,
nicht authentisierter Angreifer kann, unter Verwendung einer speziell
präparierten Webseite, die Schwachstelle dazu ausnutzen, um einen
Speicherfehler hervorzurufen und in der Folge beliebigen Programmcode mit
den Rechten des Nutzers auszuführen. CVE-2014-1553 betrifft Firefox 31,
CVE-2014-1554 betrifft Firefox ESR 31 and Firefox 31 und CVE-2014-1562
betrifft Firefox ESR 24.7, ESR 31 and Firefox 31.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1140/

Mozilla Foundation Security Advisory MFSA 2014-67:
http://www.mozilla.org/security/announce/2014/mfsa2014-67.html

Mozilla Foundation Security Advisory MFSA 2014-68:
http://www.mozilla.org/security/announce/2014/mfsa2014-68.html

Mozilla Foundation Security Advisory MFSA 2014-69:
http://www.mozilla.org/security/announce/2014/mfsa2014-69.html

Mozilla Foundation Security Advisory MFSA 2014-70:
http://www.mozilla.org/security/announce/2014/mfsa2014-70.html

Mozilla Foundation Security Advisory MFSA 2014-72:
http://www.mozilla.org/security/announce/2014/mfsa2014-72.html

Ubuntu Security Notice USN-2329-1:
http://www.ubuntu.com/usn/usn-2329-1/

Schwachstelle CVE-2014-1553 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1553

Schwachstelle CVE-2014-1554 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1554

Schwachstelle CVE-2014-1562 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1562

Schwachstelle CVE-2014-1563 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1563

Schwachstelle CVE-2014-1564 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1564

Schwachstelle CVE-2014-1565 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1565

Schwachstelle CVE-2014-1567 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1567

openSUSE Security Update: openSUSE-SU-2014:1099-1:
http://lists.opensuse.org/opensuse-updates/2014-09/msg00011.html

openSUSE Security Update: openSUSE-SU-2014:1098-1:
http://lists.opensuse.org/opensuse-updates/2014-09/msg00010.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben