UPDATE: DFN-CERT-2014-1345 Mozilla Firefox, Thunderbird: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes [Linux][Debian][Fedora][Windows]

UPDATE: DFN-CERT-2014-1345 Mozilla Firefox, Thunderbird: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes [Linux][Debian][Fedora][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (29.10.2014):
Fedora hat Sicherheitsupdates auf Firefox 33.0 für die Distributionen
Fedora 19 und Fedora 20 bereitgestellt, sowie Sicherheitsupdates auf
Thunderbird 31.2.0 für Fedora 19, Fedora 20, Fedora 21 und Fedora EPEL 7.
Version 3 (20.10.2014):
Debian stellt ein Sicherheitsupdate auf Iceweasel 31.2 ESR bereit,
welches die Schwachstellen CVE-2014-1574, CVE-2014-1576, CVE-2014-1577,
CVE-2014-1578, CVE-2014-1581, CVE-2014-1583, CVE-2014-1585 und
CVE-2014-1586 adressiert.
Version 2 (16.10.2014):
Für Ubuntu 14.04 LTS und 12.04 LTS werden Sicherheitsupdates von
Thunderbird 31.2 bereitgestellt, welche nur die Schwachstellen
CVE-2014-1574, CVE-2014-1576, CVE-2014-1577, CVE-2014-1578, CVE-2014-1581,
CVE-2014-1585 und CVE-2014-1586 adressieren.
Version 1 (15.10.2014):
Neues Advisory

Betroffene Software:

Debian Iceweasel < 31.2.0 ESR Mozilla Firefox < 33 Mozilla Firefox ESR < 31.2 Mozilla Thunderbird < 31.2 Betroffene Plattformen: Apple Mac OS X Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Debian Linux 7.6 Wheezy GNU/Linux Microsoft Windows Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 7 Mehrere Schwachstellen im Mozilla Firefox-Browser ermöglichen in den meisten Fällen einem entfernten, nicht authentifizierten Angreifer beliebigen Programmcode mit den Rechten des Benutzers zur Ausführung zu bringen oder einen Denial-of-Service-Zustand zu bewirken. Andere Schwachstellen ermöglichen entweder das Ausspähen von Informationen, Man-in-the-Middle-Angriffe oder das Umgehen von Sicherheitsvorkehrungen. Die Schwachstellen werden durch Mozilla Firefox 33, Firefox ESR 31.2 und Thunderbird 31.2 behoben, wobei die Schwachstellen CVE-2014-1580, CVE-2014-1582 und CVE-2014-1584 nicht Firefox ESR 31.1 und Thunderbird 31.1 betreffen. Insbesondere Thunderbird ist nur dann überhaupt betroffen, wenn Scripting nicht deaktiviert ist und der E-Mail-Client zudem wie ein Browser verwendet wird. Für Ubuntu 14.04 LTS und 12.04 LTS wurden bereits Sicherheitsupdates von Firefox 33.0 bereitgestellt. Patch: Mozilla Foundation Security Advisory MFSA 2014-74 http://www.mozilla.org/security/announce/2014/mfsa2014-74.html

Patch:

Mozilla Foundation Security Advisory MFSA 2014-75

http://www.mozilla.org/security/announce/2014/mfsa2014-75.html

Patch:

Mozilla Foundation Security Advisory MFSA 2014-76

http://www.mozilla.org/security/announce/2014/mfsa2014-76.html

Patch:

Mozilla Foundation Security Advisory MFSA 2014-77

http://www.mozilla.org/security/announce/2014/mfsa2014-77.html

Patch:

Mozilla Foundation Security Advisory MFSA 2014-78

http://www.mozilla.org/security/announce/2014/mfsa2014-78.html

Patch:

Mozilla Foundation Security Advisory MFSA 2014-79

http://www.mozilla.org/security/announce/2014/mfsa2014-79.html

Patch:

Mozilla Foundation Security Advisory MFSA 2014-80

http://www.mozilla.org/security/announce/2014/mfsa2014-80.html

Patch:

Mozilla Foundation Security Advisory MFSA 2014-81

http://www.mozilla.org/security/announce/2014/mfsa2014-81.html

Patch:

Mozilla Foundation Security Advisory MFSA 2014-82

http://www.mozilla.org/security/announce/2014/mfsa2014-82.html

Patch:

Ubuntu Security Notice USN-2372-1

http://www.ubuntu.com/usn/usn-2372-1/

Patch:

Ubuntu Security Notice USN-2373-1

http://www.ubuntu.com/usn/usn-2373-1/

Patch:

Debian Security Advisory DSA-3050-1

https://www.debian.org/security/2014/dsa-3050

Patch:

Fedora Security Update FEDORA-2014-12940

https://admin.fedoraproject.org/updates/FEDORA-2014-12940/thunderbird-31.2.0-1.fc21

Patch:

Fedora Security Update FEDORA-2014-12994

https://admin.fedoraproject.org/updates/FEDORA-2014-12994/firefox-33.0-1.fc19

Patch:

Fedora Security Update FEDORA-2014-13001

https://admin.fedoraproject.org/updates/FEDORA-2014-13001/thunderbird-31.2.0-1.fc20

Patch:

Fedora Security Update FEDORA-2014-13042

https://admin.fedoraproject.org/updates/FEDORA-2014-13042/firefox-33.0-1.fc20

Patch:

Fedora Security Update FEDORA-2014-13044

https://admin.fedoraproject.org/updates/FEDORA-2014-13044/thunderbird-31.2.0-1.fc19

Patch:

Fedora Security Update FEDORA-EPEL-2014-3584

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3584/thunderbird-31.2.0-1.el7

CVE-2014-1586: Schwachstelle in Mozilla Firefox & Thunderbird erlaubt
Ausspähen von Informationen

Eine Schwachstelle in den Mozilla Produkten Firefox, Firefox ESR und
Thunderbird besteht in Verbindung mit Video-Sharing über WebRTC in
sogenannten “iframes”, wobei das Video weiterhin geteilt wird, nachdem es
gestoppt und zu einer neuen Webseite navigiert wurde. Außerdem wird die
Kamera in dem Fall nicht abgeschaltet. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Zugriff
auf die Kamera zu erlangen ohne dass der Benutzer dieses bemerkt.

CVE-2014-1585: Schwachstelle in Mozilla Firefox & Thunderbird erlaubt
Ausspähen von Informationen

Eine Schwachstelle in den Mozilla Produkten Firefox, Firefox ESR und
Thunderbird besteht in Verbindung mit Video-Sharing über WebRTC in
sogenannten “iframes”, wobei das Video weiterhin geteilt wird, nachdem es
gestoppt und zu einer neuen Webseite navigiert wurde. Die “stop
sharing”-Option in der Video-Sharing-Kontrolle in der URL-Zeile hat keinen
Einfluss auf “iframes”. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um Informationen auszuspähen.

CVE-2014-1584: Schwachstelle in Firefox erlaubt Man-in-the-middle-Angriffe

Eine Schwachstelle in Firefox führt dazu, dass bei Auftreten bestimmter
Problem bei der Überprüfung des Ausstellers eines SSL-Zertifikates, die
notwendigen Prüfungen für den Sicherheitsmechanismus “key pinning” nicht
erfolgen, so dass dem Benutzer die “Untrusted Connection”-Fehlerseite
angezeigt wird. Ein lokal angemeldeter Benutzer, als Angreifer, kann diese
Schwachstelle ausnutzen, um den “Key-Pinning”-Prozess für eine Webseite zu
umgehen, für die eigentlich das “key pinning” erfolgen sollte. Diese
Fehlermeldung wird dem Benutzer immer angezeigt und kann nicht heimlich
umgangen werden.

CVE-2014-1582: Schwachstelle in Firefox erlaubt Man-in-the-middle-Angriffe

Eine Schwachstelle in Firefox führt dazu, dass durch ein Verschmelzen von
SPDY- oder HTTP/2-Verbindungen zu verschiedenen Websites (Domains), welche
zu derselben IP-Adresse aufgelöst werden, der Sicherheitsmechanismus “key
pinning” umgangen werden kann. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, falls er die Kontrolle über
die DNS-Verbindungen hat und indem er ein gefälschtes Zertifikat verwendet,
um einen Man-in-the-middle-Angriff durchzuführen, wodurch weitere
Einflussnahmen möglich sind.

CVE-2014-1580: Schwachstelle in Firefox ermöglicht Ausspähen von Information

Eine Schwachstelle in Firefox führt dazu, dass Speicher unter manchen
Umständen nicht korrekt initialisiert wird, wenn eine schädlich geformte
GIF-Datei in eine Leinwand eingepasst wird. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, indem er
einen Benutzer dazu bringt, eine speziell präparierte Webseite in dessen
Browser zu öffnen, um sensible Informationen auszuspähen.

CVE-2014-1575: Schwachstellen in Mozilla Firefox & Thunderbird erlauben
Denial-of-Service und Ausführen beliebigen Programmcodes

Mehrere Schwachstellen in der Browser Engine der Mozilla Produkte Firefox,
Firefox ESR und Thunderbird beeinträchtigen die Speichersicherheit (“memory
safety”). Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstellen ausnutzen, indem er einen Benutzer dazu bringt, eine speziell
präparierte Webseite in dessen Browser zu öffnen, um einen Absturz der
Applikation zu verursachen (partieller Denial-of-Service) oder beliebigen
Programmcode mit Benutzerrechten ausführen zu lassen.

CVE-2014-1583: Schwachstelle in Firefox erlaubt Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in Firefox besteht darin, dass Web-Applikationen die
Alarm-API verwenden können, um die Werte von Herkunftsquerverweisen
(“cross-origin references”) auszulesen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, indem er
einen Benutzer dazu bringt eine speziell präparierte Web-Applikation zu
installieren, um die “same-origin”-Beschränkungen zu umgehen.

CVE-2014-1581: Use-after-free-Schwachstelle in Mozilla Firefox & Thunderbird

Eine Schwachstelle in den Mozilla Produkten Firefox, Firefox ESR und
Thunderbird erlaubt unter manchen Umständen während des Textlayouts
freigegebenen Speicher zu verwenden (“use-after-free”). Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, indem
er einen Benutzer dazu bringt, eine speziell präparierte Webseite in dessen
Browser zu öffnen, um einen Absturz der Applikation zu verursachen
(partieller Denial-of-Service) oder beliebigen Programmcode mit
Benutzerrechten ausführen zu lassen.

CVE-2014-1578: Schwachstelle in Mozilla Firefox & Thunderbird ermöglicht
Denial-of-Service und Ausführen beliebigen Programmcodes

Eine Schwachstelle in den Mozilla Produkten Firefox, Firefox ESR und
Thunderbird erlaubt unter manchen Umständen das Schreiben außerhalb von
Speicherbegrenzungen (“out-of-bounds write”), wenn WebM Videos
zwischengespeichert werden. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, indem er einen Benutzer dazu
bringt, eine speziell präparierte Webseite in dessen Browser zu öffnen, um
einen Absturz der Applikation zu verursachen (partieller Denial-of-Service)
oder beliebigen Programmcode mit Benutzerrechten ausführen zu lassen.

CVE-2014-1577: Schwachstelle in Mozilla Firefox & Thunderbird ermöglicht
Ausspähen von Information

Eine Schwachstelle in den Mozilla Produkten Firefox, Firefox ESR und
Thunderbird erlaubt das Lesen außerhalb von Speicherbegrenzungen
(“out-of-bounds read”) mit Web Audio. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, indem er
einen Benutzer dazu bringt, eine speziell präparierte Webseite in dessen
Browser zu öffnen, um sensible Informationen auszuspähen.

CVE-2014-1576: Pufferspeicherüberlauf-Schwachstelle in Mozilla Firefox &
Thunderbird

Eine Schwachstelle in den Mozilla Produkten Firefox, Firefox ESR und
Thunderbird führt zu einem Pufferspeicherüberlauf (“buffer overflow”)
während Manipulationen von CSS. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, indem er einen Benutzer dazu
bringt, eine speziell präparierte Webseite in dessen Browser zu öffnen, um
einen Absturz der Applikation zu verursachen (partieller Denial-of-Service)
oder beliebigen Programmcode mit Benutzerrechten ausführen zu lassen.

CVE-2014-1574: Schwachstellen in Mozilla Firefox & Thunderbird erlauben
Denial-of-Service und Ausführen beliebigen Programmcodes

Mehrere Schwachstellen in der Browser Engine der Mozilla Produkte Firefox,
Firefox ESR und Thunderbird beeinträchtigen die Speichersicherheit (“memory
safety”). Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstellen ausnutzen, indem er einen Benutzer dazu bringt, eine speziell
präparierte Webseite in dessen Browser zu öffnen, um einen Absturz der
Applikation zu verursachen (partieller Denial-of-Service) oder beliebigen
Programmcode mit Benutzerrechten ausführen zu lassen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1345/

Mozilla Foundation Security Advisory MFSA 2014-74:
http://www.mozilla.org/security/announce/2014/mfsa2014-74.html

Mozilla Foundation Security Advisory MFSA 2014-75:
http://www.mozilla.org/security/announce/2014/mfsa2014-75.html

Mozilla Foundation Security Advisory MFSA 2014-76:
http://www.mozilla.org/security/announce/2014/mfsa2014-76.html

Mozilla Foundation Security Advisory MFSA 2014-77:
http://www.mozilla.org/security/announce/2014/mfsa2014-77.html

Mozilla Foundation Security Advisory MFSA 2014-78:
http://www.mozilla.org/security/announce/2014/mfsa2014-78.html

Mozilla Foundation Security Advisory MFSA 2014-79:
http://www.mozilla.org/security/announce/2014/mfsa2014-79.html

Mozilla Foundation Security Advisory MFSA 2014-80:
http://www.mozilla.org/security/announce/2014/mfsa2014-80.html

Mozilla Foundation Security Advisory MFSA 2014-81 :
http://www.mozilla.org/security/announce/2014/mfsa2014-81.html

Mozilla Foundation Security Advisory MFSA 2014-82:
http://www.mozilla.org/security/announce/2014/mfsa2014-82.html

Ubuntu Security Notice USN-2372-1:
http://www.ubuntu.com/usn/usn-2372-1/

Schwachstelle CVE-2014-1574 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1574

Schwachstelle CVE-2014-1575 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1575

Schwachstelle CVE-2014-1576 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1576

Schwachstelle CVE-2014-1577 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1577

Schwachstelle CVE-2014-1578 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1578

Schwachstelle CVE-2014-1580 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1580

Schwachstelle CVE-2014-1581 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1581

Schwachstelle CVE-2014-1582 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1582

Schwachstelle CVE-2014-1583 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1583

Schwachstelle CVE-2014-1584 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1584

Schwachstelle CVE-2014-1585 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1585

Schwachstelle CVE-2014-1586 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1586

Ubuntu Security Notice USN-2373-1:
http://www.ubuntu.com/usn/usn-2373-1/

Debian Security Advisory DSA-3050-1:
https://www.debian.org/security/2014/dsa-3050

Fedora Security Update FEDORA-2014-12940:
https://admin.fedoraproject.org/updates/FEDORA-2014-12940/thunderbird-31.2.0-1.fc21

Fedora Security Update FEDORA-2014-12994:
https://admin.fedoraproject.org/updates/FEDORA-2014-12994/firefox-33.0-1.fc19

Fedora Security Update FEDORA-2014-13001:
https://admin.fedoraproject.org/updates/FEDORA-2014-13001/thunderbird-31.2.0-1.fc20

Fedora Security Update FEDORA-2014-13042:
https://admin.fedoraproject.org/updates/FEDORA-2014-13042/firefox-33.0-1.fc20

Fedora Security Update FEDORA-2014-13044:
https://admin.fedoraproject.org/updates/FEDORA-2014-13044/thunderbird-31.2.0-1.fc19

Fedora Security Update FEDORA-EPEL-2014-3584:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3584/thunderbird-31.2.0-1.el7

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben