Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (23.03.2015):
Für die Distributionen openSUSE 13.1 und openSUSE 13.2 stehen
Sicherheitsupdates auf die SeaMonkey Version 2.33 zur Behebung der
Schwachstellen mit Ausnahme der CVE-2014-1569 bereit.
Version 4 (10.03.2015):
Mit dem Sicherheitsupdate ‘Ubuntu Security Notice USN-2505-1’ wurde eine
Regression eingeführt, diese wird jetzt durch ein weiteres Update für
Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und Ubuntu 14.10 behoben.
Version 3 (02.03.2015):
openSUSE stellt für die Distributionen openSUSE 13.1 und openSUSE 13.2
Sicherheitsupdates zur Verfügung. Die Updates beinhalten zusätzlich die
CVE-2014-1569. Die Schwachstelle CVE-2015-0833 (betrifft nur Windows) wird
nicht genannt.
Version 2 (26.02.2015):
Für Ubuntu 14.10, 14.04 LTS und 12.04 LTS werden Sicherheitsupdates auf
Firefox 36.0 zur Verfügung gestellt. Die Schwachstellen CVE-2015-0828 und
CVE-2015-0833 (betreffen nur Windows) werden nicht genannt.
Version 1 (25.02.2015):
Neues Advisory
Betroffene Software:
Mozilla Firefox < 36 Mozilla Firefox ESR < 31.5 Mozilla SeaMonkey <= 2.32 Mozilla Thunderbird < 31.5 Betroffene Plattformen: Apple Mac OS X Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 GNU/Linux Microsoft Windows openSUSE 13.1 openSUSE 13.2 Mehrere Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen einem entfernten, nicht authentifizierten Angreifer, beliebigen Programmcode mit den Rechten des Benutzers zur Ausführung zu bringen, einen Denial-of-Service-Zustand zu bewirken, das Ausspähen von Informationen oder das Umgehen von Sicherheitsvorkehrungen. Patch: Mozilla Foundation Security Advisory MFSA2015-11 https://www.mozilla.org/en-US/security/advisories/mfsa2015-11/
Patch:
Mozilla Foundation Security Advisory MFSA2015-12
https://www.mozilla.org/en-US/security/advisories/mfsa2015-12/
Patch:
Mozilla Foundation Security Advisory MFSA2015-13
https://www.mozilla.org/en-US/security/advisories/mfsa2015-13/
Patch:
Mozilla Foundation Security Advisory MFSA2015-14
https://www.mozilla.org/en-US/security/advisories/mfsa2015-14/
Patch:
Mozilla Foundation Security Advisory MFSA2015-15
https://www.mozilla.org/en-US/security/advisories/mfsa2015-15/
Patch:
Mozilla Foundation Security Advisory MFSA2015-16
https://www.mozilla.org/en-US/security/advisories/mfsa2015-16/
Patch:
Mozilla Foundation Security Advisory MFSA2015-17
https://www.mozilla.org/en-US/security/advisories/mfsa2015-17/
Patch:
Mozilla Foundation Security Advisory MFSA2015-18
https://www.mozilla.org/en-US/security/advisories/mfsa2015-18/
Patch:
Mozilla Foundation Security Advisory MFSA2015-19
https://www.mozilla.org/en-US/security/advisories/mfsa2015-19/
Patch:
Mozilla Foundation Security Advisory MFSA2015-20
https://www.mozilla.org/en-US/security/advisories/mfsa2015-20/
Patch:
Mozilla Foundation Security Advisory MFSA2015-21
https://www.mozilla.org/en-US/security/advisories/mfsa2015-21/
Patch:
Mozilla Foundation Security Advisory MFSA2015-22
https://www.mozilla.org/en-US/security/advisories/mfsa2015-22/
Patch:
Mozilla Foundation Security Advisory MFSA2015-23
https://www.mozilla.org/en-US/security/advisories/mfsa2015-23/
Patch:
Mozilla Foundation Security Advisory MFSA2015-24
https://www.mozilla.org/en-US/security/advisories/mfsa2015-24/
Patch:
Mozilla Foundation Security Advisory MFSA2015-25
https://www.mozilla.org/en-US/security/advisories/mfsa2015-25/
Patch:
Mozilla Foundation Security Advisory MFSA2015-26
https://www.mozilla.org/en-US/security/advisories/mfsa2015-26/
Patch:
Mozilla Foundation Security Advisory MFSA2015-27
https://www.mozilla.org/en-US/security/advisories/mfsa2015-27/
Patch:
Ubuntu Security Notice USN-2505-1
http://www.ubuntu.com/usn/usn-2505-1/
Patch:
SUSE Security Update openSUSE-SU-2015:0404-1
http://lists.opensuse.org/opensuse-security-announce/2015-03/msg00000.html
Patch:
Ubuntu Security Notice USN-2505-2
http://www.ubuntu.com/usn/usn-2505-2/
Patch:
openSUSE Security Update openSUSE-SU-2015:0570-1
http://lists.opensuse.org/opensuse-updates/2015-03/msg00067.html
CVE-2015-0835: Schwachstelle in Browser Engine ermöglicht das Ausführen
beliebigen Programmcodes
Nicht näher beschriebene Speicher-Korrumpierungen ermöglichen, in Verbindung
mit Skripten, einem entfernten, nicht authentisierten Angreifer das
Ausführen beliebigen Programmcodes.
CVE-2015-0834: Schwachstelle in WebRTC ermöglicht Man-in-the-middle-Angriff
Eine Schwachstelle in der WebRTC-Implementierung von Mozilla Firefox führt
dazu, das URI zu TURN- und STUN-Servern akzeptiert werden, obwohl
TLS-Verbindungen nicht unterstützt sind. Die Verbindungen werden, ohne
Hinweis an den Benutzer, unverschlüsselt aufgebaut. Ein entfernter, nicht
authentifizierter Angreifer kann dadurch einen Man-in-the-middle-Angriff
durchführen und in der Folge Informationen ausspähen.
CVE-2015-0833: Schwachstelle in Mozilla Updater erlaubt das Ausführen
beliebigen Programmcodes mit Benutzerrechten
Eine Schwachstelle in dem Update-Programm von Mozilla unter Windows führt
dazu, dass binäre DLL-Dateien aus dem aktuellen Verzeichnis oder dem
temporären Windows-Verzeichnis ausgeführt werden. Das Update-Programm muss
dafür direkt ausgeführt werden und nicht durch den ‘Mozilla Maintenance
Service’. Die Benutzer-Account-Kontrolle (UAC) wird dabei nicht umgangen.
Ein lokaler, nicht authentifizierter Angreifer kann durch eine präparierte
DLL beliebigen Programmcode mit Benutzerrechten ausführen.
CVE-2015-0832: Schwachstelle in Firefox ermöglicht Man-in-the-middle-Angriff
Eine Schwachstelle in Firefox ermöglicht, durch das Hinzufügen eines Punktes
(‘.’) am Ende des Hostnamen, das Pinning (Festlegen von Zertifikaten für
einen bestimmten Host) zu umgehen. Wenn die Option ‘Pinning’ auf ‘strict’
gesetzt ist, kann dadurch sowohl das ‘Key Pinning’ (HPKP), als auch die
‘HTTP Strict Transport Security’ (HSTS) umgangen werden. Ein entfernter,
nicht authentifizierter Angreifer kann die beabsichtigten
Sicherheitsmechanismen umgehen und einen Man-in-the-middle-Angriff
durchführen, um Informationen auszuspähen.
CVE-2015-0830: Schwachstelle in WebGL ermöglicht Denial-of-Service-Angriff
Eine Schwachstelle in WebGL-Inhalten führt bei der Darstellung von
präparierten Zeichenketten zu einem Absturz. Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.
CVE-2015-0829: Schwachstelle in libstagefright-Bibliothek ermöglicht das
Ausführen beliebigen Programmcodes mit Benutzerrechten
Eine Schwachstelle in der Bibliothek ‘libstagefright’ führt dazu, dass beim
Abspielen von präparierten MP4-Video-Dateien zu wenig Speicher angefordert
wird und es zu einem Speicherüberlauf kommt. Ein entfernter, nicht
authentifizierter Angreifer kann beliebigen Programmcode mit Benutzerrechten
ausführen.
CVE-2015-0828: Schwachstelle in XmlHttpRequest ermöglicht das Ausführen
beliebigen Programmcodes mit Benutzerrechten
Eine Schwachstelle in der Behandlung von XmlHttpRequest (XHR)-Anfragen
führt, durch die Verwendung eines XmlHttpRequest mit der Länge Null, zu
einer zweifachen Freigabe (double-free) von Speicher. Dieser Fehler kann nur
auftreten, wenn nicht die gleiche Speicher-Bibliothek (jemalloc) verwendet
wird, die auch Mozilla verwendet. Ein entfernter, nicht authentifizierter
Angreifer kann beliebigen Programmcode mit Benutzerrechten ausführen.
CVE-2015-0826: Schwachstelle in CSS ermöglicht das Ausführen beliebigen
Programmcodes mit Benutzerrechten
Eine Schwachstelle in der CSS-Implementierung führt dazu, dass es bei der
Neugestaltung einer Webseite zu Lesezugriffen außerhalb der Speichergrenzen
(“out-of-bounds read”) kommt. Ein entfernter, nicht authentifizierter
Angreifer kann beliebigen Programmcode mit Benutzerrechten ausführen oder
einen Denial-of-Service-Zustand herbeiführen.
CVE-2015-0825: Schwachstelle in MP3-Wiedergabe ermöglicht das Ausspähen von
Informationen
Eine Schwachstelle in der Wiedergabe von MP3-Dateien führt zu einem Stack
basierten Puffer-Speicherunterlauf. Durch die Manipulation von
Speicheranforderungen, mittels der Wiedergabe einer schädlichen MP3-Datei,
können Teile des zu Firefox gehörenden Speichers über die MP3-Wiedergabe
ausgeleitet werden, falls diese für Skripte auf der Webseite zugreifbar ist.
Ein entfernter, nicht authentifizierter Angreifer kann Informationen aus dem
Speicher ausspähen.
CVE-2015-0824: Schwachstelle in Cairo-Bibliothek ermöglicht
Denial-of-Service-Angriff
Eine Schwachstelle in der Funktion “DrawTarget” der Bibliothek “Cairo” führt
bei der Darstellung von präparierten Bild-Dateien zu einem Absturz, weil als
Folge der Schwachstelle Nullen in Speicherbereiche außerhalb der Grenzen des
dargestellten Bildes geschrieben werden und es infolgedessen zu einem
Speicherschutzfehler kommt. Ein entfernter, nicht authentifizierter
Angreifer kann dadurch einen Denial-of-Service-Angriff durchführen.
CVE-2015-0823: Schwachstelle in OpenType-Bereiniger ermöglicht
Denial-of-Service-Angriff
Eine Schwachstellen in dem OpenType-Bereiniger kann bei dem Ausführen von
Makros, zu der Benutzung von Speicher führen welcher bereits freigeben wurde
(use-after-free). Die Benutzen-nach-Freigabe-Schwachstelle tritt nur bei der
Darstellung von Informationen innerhalb der Entwickler-Konsole auf und kann
darüber hinaus nicht ausgenutzt werden. Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.
CVE-2015-0821: Schwachstelle in Mozilla Firefox ermöglicht das Umgehen von
Sicherheitsmaßnahmen
Eine Schwachstelle in Firefox ermöglicht es eine privilegierte Chrome URL
mit der Maus und bestimmten Tastenkombinationen ohne Kontextbeschränkungen
zu öffnen. Dadurch ist es möglich lokale Dateien oder Ressourcen, deren Pfad
bekannt ist, mit lokalen Berechtigungen zu öffnen. Ein entfernter, nicht
authentifizierter Angreifer kann Sicherheitsmaßnahmen umgehen.
CVE-2015-0820: Schwachstelle in Caja-Compiler ermöglicht das Umgehen von
Sicherheitsmaßnahmen
Eine Schwachstelle im Caja-Compiler führt dazu, dass JavaScript-Objekte, die
als ‘nicht erweiterbar’ innerhalb von Caja und ‘Secure EcmaScript’ markiert
sind, wieder als ‘erweiterbar’ deklariert werden können. Dadurch können die
Caja Sandbox Sicherheitsrichtlinien umgangen werden. Diese Schwachstelle
betrifft Firefox nur bei der Darstellung von Caja gesicherten Webseiten. Ein
entfernter, nicht authentifizierter Angreifer kann Sicherheitsmaßnahmen
umgehen.
CVE-2015-0819: Schwachstelle in UITour-Positivliste ermöglicht
Clickjacking-Angriff
Eine Schwachstelle in der Umsetzung von Positivlisten führt dazu, dass eine
Mozilla-Domain, für die UITour-API Aufrufe erlaubt sind, diese auch dann
ausführen kann, wenn die UITour-Seite in einem Hintergrund-Tab geladen ist.
Voraussetzung für das Ausnutzen der Schwachstelle ist eine kompromittierte
Mozilla-Domain. Eine entfernter, nicht authentifizierter Angreifer kann
durch das Ausnutzen der Schwachstelle einen Clickjacking-Angriff
durchführen.
CVE-2015-0836: Schwachstelle in Browser Engine ermöglicht das Ausführen
beliebigen Programmcodes
Nicht näher beschriebene Speicher-Korrumpierungen ermöglichen, in Verbindung
mit Skripten, einem entfernten, nicht authentisierten Angreifer das
Ausführen beliebigen Programmcodes.
CVE-2015-0831: Schwachstelle in IndexDB ermöglicht das Ausführen beliebigen
Programmcodes
Eine Benutzen-Nach-Freigabe-Schwachstelle (use-after-free) in IndexDB führt,
durch eine fehlerhafte Verarbeitung von präparierten Webseiten, zu einer
potentiell ausnutzbaren Heap-Speicherkorruption. Ein entfernter, nicht
authentifizierter Angreifer kann beliebigen Programmcode aus- oder einen
Denial-of-Service-Angriff durchführen.
CVE-2015-0827: Schwachstelle in SVG-Grafik ermöglicht das Ausspähen von
Informationen
Eine Schwachstelle bei der Darstellung von SVG-Grafiken führt zu einem Lesen
und Schreiben außerhalb der Speichergrenzen (“out-of-bounds read” und
“out-of-bounds write”). Ein entfernter, nicht authentifizierter Angreifer
kann einen Denial-of-Service-Angriff durchführen oder Zugriff auf
Informationen erlangen.
CVE-2015-0822: Schwachstelle in Autovervollständigung ermöglicht das
Ausspähen von Informationen
Eine Schwachstelle in der Autovervollständigungsfunktion ermöglicht es
Dateien, die vom Benutzer gelesen werden können und deren Pfad bekannt ist,
auf einen Server hochzuladen. Dazu wird ein Formular manipuliert, durch das
der Inhalt der Datei hochgeladen wird, ohne dass der Benutzer dies sieht.
Der Inhalt wird durch das Document Object Model (DOM) verfügbar gemacht. Ein
entfernter, nicht authentifizierter Angreifer kann Informationen ausspähen.
CVE-2014-1569: Schwachstelle in Mozilla Network Security Service
Die definite_length_decoder Funktion in lib/util/quickder.c von Mozilla
Network Security Services überprüft die Länge von ASN.1 Objekten in DER
Codierung nicht ausreichend. Ein entfernter, nicht authentifizierter
Angreifer kann dies ausnutzen, in dem er eine lange Byte-Folge für eine DER
Codierung sendet und beliebige Daten darin einschmuggelt. Dies wird
beispielsweise demonstriert durch die inkorrekte Bearbeitung der Codierung
einer beliebigen Länge 0x00 durch die SEC_QuickDERDecodeItem Funktion.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0246/
Schwachstelle CVE-2014-1569 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1569
Mozilla Foundation Security Advisory MFSA2015-11:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-11/
Mozilla Foundation Security Advisory MFSA2015-12:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-12/
Mozilla Foundation Security Advisory MFSA2015-13:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-13/
Mozilla Foundation Security Advisory MFSA2015-14:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-14/
Mozilla Foundation Security Advisory MFSA2015-15:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-15/
Mozilla Foundation Security Advisory MFSA2015-16:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-16/
Mozilla Foundation Security Advisory MFSA2015-17:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-17/
Mozilla Foundation Security Advisory MFSA2015-18:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-18/
Mozilla Foundation Security Advisory MFSA2015-19:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-19/
Mozilla Foundation Security Advisory MFSA2015-20:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-20/
Mozilla Foundation Security Advisory MFSA2015-21:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-21/
Mozilla Foundation Security Advisory MFSA2015-22:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-22/
Mozilla Foundation Security Advisory MFSA2015-23:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-23/
Mozilla Foundation Security Advisory MFSA2015-24:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-24/
Mozilla Foundation Security Advisory MFSA2015-25:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-25/
Mozilla Foundation Security Advisory MFSA2015-26:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-26/
Mozilla Foundation Security Advisory MFSA2015-27:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-27/
Schwachstelle CVE-2015-0819 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0819
Schwachstelle CVE-2015-0820 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0820
Schwachstelle CVE-2015-0821 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0821
Schwachstelle CVE-2015-0822 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0822
Schwachstelle CVE-2015-0823 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0823
Schwachstelle CVE-2015-0824 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0824
Schwachstelle CVE-2015-0825 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0825
Schwachstelle CVE-2015-0826 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0826
Schwachstelle CVE-2015-0827 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0827
Schwachstelle CVE-2015-0828 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0828
Schwachstelle CVE-2015-0829 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0829
Schwachstelle CVE-2015-0830 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0830
Schwachstelle CVE-2015-0831 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0831
Schwachstelle CVE-2015-0832 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0832
Schwachstelle CVE-2015-0833 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0833
Schwachstelle CVE-2015-0834 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0834
Schwachstelle CVE-2015-0835 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0835
Schwachstelle CVE-2015-0836 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0836
Ubuntu Security Notice USN-2505-1:
http://www.ubuntu.com/usn/usn-2505-1/
SUSE Security Update openSUSE-SU-2015:0404-1:
http://lists.opensuse.org/opensuse-security-announce/2015-03/msg00000.html
Ubuntu Security Notice USN-2505-2:
http://www.ubuntu.com/usn/usn-2505-2/
openSUSE Security Update openSUSE-SU-2015:0570-1:
http://lists.opensuse.org/opensuse-updates/2015-03/msg00067.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
