UPDATE: DFN-CERT-2016-2114 Mozilla Thunderbird: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][RedHat]

UPDATE: DFN-CERT-2016-2114 Mozilla Thunderbird: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (22.12.2016):
Für Oracle Linux 5, 6 und 7 stehen Sicherheitsupdates für Mozilla
Thunderbird auf Version 45.6.0 bereit.
Version 1 (21.12.2016):
Neues Advisory

Betroffene Software:

Mozilla Thunderbird < 45.6 Betroffene Plattformen: Red Hat Optional Productivity Applications 5 Server Oracle Linux 5 Oracle Linux 6 Oracle Linux 7 Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.3 TUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Mehrere Schwachstellen in Mozilla Thunderbird ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen sowie das Umgehen von Sicherheitsvorkehrungen. Diese und weitere Schwachstellen wurden von der Mozilla Foundation mit dem Sicherheitsupdate für Mozilla Firefox ESR auf die Version 45.6 veröffentlicht, es wurde bis dato aber noch kein allgemein verfügbares Sicherheitsupdate für Thunderbird veröffentlicht. Red Hat stellt zur Behebung dieser Schwachstellen Sicherheitsupdates für Thunderbird auf Version 45.6.0 für die Red Hat Enterprise Linux Produkte Optional Productivity Applications 5 (Server); Desktop 5 (Client), 6 und 7; Server 6, 7 und 7.3 TUS sowie für Workstation 6 und 7 zur Verfügung. Patch: Red Hat Security Advisory RHSA-2016:2973 http://rhn.redhat.com/errata/RHSA-2016-2973.html

Patch:

Oracle Linux Security Advisory ELSA-2016-2973

https://linux.oracle.com/errata/ELSA-2016-2973.html

CVE-2016-9905: Schwachstelle in Mozilla Firefox ESR ermöglicht Ausführung
beliebigen Programmcodes

Während des Hinzufügens oder der Entfernung von Sub-Dokumenten kann es in
‘EnumerateSubDocuments’ zu einem Absturz kommen, der sich von einem
entfernten, nicht authentifizierten Angreifer mit Hilfe einer speziell
präparierten Webseite möglicherweise für die Ausführung beliebigen
Programmcodes ausnutzen lässt.

CVE-2016-9902: Schwachstelle in Pocket ermöglicht Ausspähen von
Informationen

Der Knopf zum System-Add-on Pocket auf der Werkzeugleiste überwacht
Ereignisse von Webseiten aus dem Kontext von Pocket, sobald er aktiviert
ist. Die Herkunft der Ereignisse wird dabei nicht geprüft, so dass ein
entfernter, nicht authentifizierter Angreifer mit Hilfe speziell
präparierter Webseiten Ereignisse an Pocket absenden und beliebige Inhalte
und Programmcode in den Kontext von Pocket einschleusen kann. Dadurch kann
der Angreifer Informationen ausspähen und möglicherweise weitere Angriffe
durchführen. Benutzer von ‘Electrolysis’ (e10s), einer Möglichkeit zur
Ausführung von Webinhalten im Hintergrund, sind von der Schwachstelle nicht
betroffen.

CVE-2016-9901: Schwachstelle in Pocket ermöglicht Ausspähen von
Informationen

Über das System-Add-on Pocket zum späteren Lesen von Webseiten werden
HTML-Tags, die vom Pocket-Server geladen werden, ungeprüft verarbeitet,
wodurch beliebiger JavaScript-Programmcode im Kontext der unprivilegierten
Seite ‘about:pocket-saved’ ausgeführt wird. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle mit Hilfe speziell
präparierter Webseiten ausnutzen, um Zugriff auf die
Pocket-Programmschnittstelle zu erhalten und in der Folge sensitive
Informationen zum Surfverhalten des Benutzers ausspähen.

CVE-2016-9900: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen

Bei der Verarbeitung von Bilddateien des Typs ‘SVG’ können über den
Parameter ‘data:’ externe Quellen als URLs eingebunden werden, die
eigentlich blockiert sein sollten. Ein entfernter, nicht authentifizierter
Angreifer kann dadurch Sicherheitsvorkehrungen umgehen und in der Folge
möglicherweise Informationen ausspähen.

CVE-2016-9899: Schwachstelle in Mozilla Firefox ermöglicht Ausführung
beliebigen Programmcodes

Durch die Manipulation von DOM (Document Object Model) Ereignissen und bei
der Entfernung von Audio-Elementen kann es aufgrund von Fehlern bei der
Behandlung von neu zugewiesenen Knoten (Node Adaption) zum Zugriff auf
bereits freigegebene Speicherbereiche kommen (Use-after-Free). Ein
entfernter, nicht authentifizierter Angreifer kann dadurch mit Hilfe
speziell präparierter Webseiten beliebigen Programmcode ausführen.

CVE-2016-9895: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen

Die Ereignisbehandler (Event Handler) von Elementen des Typs ‘marquee’
(obsolet, verwendet für Laufschriften) werden ausgeführt, obwohl die Content
Security Policy (CSP) ausdrücklich die Ausführung eingebetteten
JavaScript-Programmcodes (inline JavaScript) untersagt. Ein entfernter,
nicht authentifizierter Angreifer kann Sicherheitsvorkehrungen umgehen und
in der Folge JavaScript-Programmcode ausführen.

CVE-2016-9893: Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen
Ausführung beliebigen Programmcodes

Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla
Firefox und Firefox ESR, die zu Speicherfehlern führen können (Memory Safety
Bugs). Dazu können beispielsweise Pufferüberläufe, Fehler bei der
dynamischen Speicherverwaltung, nicht initialisierte Variablen und die
Erschöpfung von Speicher gehören. Der Hersteller geht davon aus, dass einige
der Schwachstellen von einem entfernten, nicht authentifizierten Angreifer
für die Ausführung beliebigen Programmcodes ausgenutzt werden können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-2114/

Schwachstelle CVE-2016-9893 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9893

Schwachstelle CVE-2016-9895 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9895

Schwachstelle CVE-2016-9899 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9899

Schwachstelle CVE-2016-9900 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9900

Schwachstelle CVE-2016-9901 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9901

Schwachstelle CVE-2016-9902 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9902

Schwachstelle CVE-2016-9905 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9905

Red Hat Security Advisory RHSA-2016:2973:
http://rhn.redhat.com/errata/RHSA-2016-2973.html

Oracle Linux Security Advisory ELSA-2016-2973:
https://linux.oracle.com/errata/ELSA-2016-2973.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben