Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (02.10.2017):
Für Fedora 25 und 26 stehen Sicherheitsupdates auf den Firefox Browser
Version 56 in Form der Pakete ‘firefox-56.0-2.fc25’ und
‘firefox-56.0-2.fc26’ im Status ‘testing’ zur Verfügung. Für Fedora 26 und
27 stehen die Sicherheitsupdates ‘firefox-56.0-3.fc26’ und
‘firefox-56.0-3.fc27’ im Status ‘pending’ bereit. Debian veröffentlicht
für die stabile Distribution Stretch sowie die vormals stabile
Distribution Jessie den Firefox ESR Browser in der Version 52.4 als
Sicherheitsupdate.
Version 1 (29.09.2017):
Neues Advisory
Betroffene Software:
Mozilla Firefox < 56 Mozilla Firefox ESR < 52.4 Tor Browser < 7.0.6 Tor Browser < 7.5a5 Betroffene Plattformen: Apple Mac OS X macOS Sierra Debian Linux 8.9 Jessie Debian Linux 9.1 Stretch GNU/Linux Google Android Operating System Microsoft Windows Oracle Linux 6 Oracle Linux 7 Red Hat Enterprise Linux for Scientific Computing 6 Red Hat Enterprise Linux for Scientific Computing 7 Red Hat Enterprise Linux 7.4 EUS Compute Node Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server for ARM 7 Red Hat Enterprise Linux Server 7.4 AUS Red Hat Enterprise Linux Server 7.4 EUS Red Hat Enterprise Linux Server 7.4 TUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 25 Red Hat Fedora 26 Red Hat Fedora 27 Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, die Darstellung falscher Informationen sowie die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs und verschiedene Denial-of-Service (DoS)-Angriffe. Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen und beliebige lokale Dateien zu öffnen. Die Schwachstelle CVE-2017-7817 betrifft nur Firefox für Android und die Schwachstelle CVE-2017-7825 nur Firefox für Mac OS X-Betriebssysteme. Die Mozilla Foundation stellt den Browser Firefox in der Version 56 und das Extended Support Release Firefox ESR in der Version 52.4 bereit, um die Schwachstellen zu beheben. Das Tor Browser Projekt veröffentlicht zur Behebung der Schwachstellen die auf Firefox ESR 52.4 basierende stabile Version 7.0.6 des Browsers und verwendet darin nun die Tor-Version 0.3.1.7 sowie die HTTPS-Everywhere-Version 2017.9.12. Des weiteren wird die Alpha-Version 7.5a5 des Tor-Browsers zur Verfügung gestellt, welche ebenfalls auf Firefox ESR 52.4 basiert. Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Server, Desktop und Workstation sowie für Server for ARM 7, Linux for Scientific Computing 6 und die Server Produktversionen Extended Update Support (EUS) 7.4, Advanced Update Support (AUS) 7.4 und Telco Update Support (TUS) 7.4 den Firefox ESR Browser in der Version 52.4 als Sicherheitsupdate bereit. Die Schwachstelle CVE-2017-7805 in den Network Security Services (NSS) adressiert Red Hat mittels eines gesonderten Sicherheitsupdates (RHSA-2017:2832) für 'nss', welches zusätzlich auch für die Produktvarianten Linux for Scientific Computing 7 und Compute Node Extended Update Support (EUS) 7.4 bereitsteht. Oracle stellt für Oracle Linux 6 (i386, x86_64) und 7 (x86_64) den Firefox ESR Browser in der Version 52.4 als Sicherheitsupdate bereit. Für die Network Security Services (NSS) steht ebenfalls ein gesondertes Sicherheitsupdate (ELSA-2017-2832) für Oracle Linux 6 (x86_64) und 7 (x86_64) bereit, um die Schwachstelle CVE-2017-7805 zu beheben. Patch: Mozilla Foundation Security Advisory MFSA 2017-21 https://www.mozilla.org/en-US/security/advisories/mfsa2017-21/
Patch:
Mozilla Foundation Security Advisory MFSA 2017-22
https://www.mozilla.org/en-US/security/advisories/mfsa2017-22/
Patch:
Oracle Linux Security Advisory ELSA-2017-2831
https://linux.oracle.com/errata/ELSA-2017-2831.html
Patch:
Oracle Linux Security Advisory ELSA-2017-2832
https://linux.oracle.com/errata/ELSA-2017-2832.html
Patch:
Red Hat Security Advisory RHSA-2017:2831
https://access.redhat.com/errata/RHSA-2017:2831
Patch:
Red Hat Security Advisory RHSA-2017:2832
https://access.redhat.com/errata/RHSA-2017:2832
Patch:
Tor Browser 7.0.6 Release Notes
https://blog.torproject.org/tor-browser-706-released
Patch:
Tor Browser 7.5a5 Release Notes
https://blog.torproject.org/tor-browser-75a5-released
Patch:
Debian Security Advisory DSA-3987-1
https://www.debian.org/security/2017/dsa-3987
Patch:
Fedora Security Update FEDORA-2017-2c933656a2 (Fedora 25,
firefox-56.0-2.fc25)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2c933656a2
Patch:
Fedora Security Update FEDORA-2017-3ede6585dc (Fedora 27,
firefox-56.0-3.fc27)
https://bodhi.fedoraproject.org/updates/firefox-56.0-3.fc27
Patch:
Fedora Security Update FEDORA-2017-730e299c49 (Fedora 26,
firefox-56.0-2.fc26)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-730e299c49
Patch:
Fedora Security Update FEDORA-2017-825ffaa9fc (Fedora 26,
firefox-56.0-3.fc26)
https://bodhi.fedoraproject.org/updates/firefox-56.0-3.fc26
CVE-2017-7825: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Darstellen falscher Informationen
In Mozilla Firefox und Firefox ESR besteht eine Schwachstelle, weil einige
in Apple OS X-Betriebssystemen verwendete Schriftarten tibetanische und
arabische Zeichen als Leerzeichen darstellen. Werden diese in der
Adresszeile als Teil eines IDN (internationalisierten Domainnamen)
verwendet, können gefälschte Domänennamen dargestellt werden. Ein
entfernter, nicht authentisierter Angreifer kann falsche Informationen
darstellen.
CVE-2017-7824: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Denial-of-Service-Angriff
In Mozilla Firefox und Firefox ESR existiert eine Schwachstelle, durch einen
Pufferspeicherüberlauf beim Zeichnen und Validieren von Elementen mit der
ANGLE-Grafikbibliothek für WebGL-Inhalte, weil bestimmte Werte innerhalb der
Bibliothek nicht ausreichend überprüft werden. Ein entfernter, nicht
authentisierter Angreifer kann dies ausnutzen und einen Absturz der
Anwendung provozieren (Denial-of-Service, DoS), der sich möglicherweise für
weitere Angriffe ausnutzen lässt (exploitable Crash).
CVE-2017-7823: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Cross-Site-Scripting-Angriff
In Mozilla Firefox und Firefox ESR besteht eine Schwachstelle, weil die
Content Security Policy (CSP)-‘Sandbox’-Direktive keine eindeutige Herkunft
für Dokumente erstellt. Diese verhält sich dadurch immer so, als sei das
Schlüsselwort ‘allow-same-origin’ spezifiziert. Ein entfernter, nicht
authentisierter Angreifer kann einen Cross-Site-Scripting (XSS)-Angriff
durchführen.
CVE-2017-7822: Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von
Informationen
In Mozilla Firefox existiert eine Schwachstelle in der AES/GCM
(Galois/Counter Mode)-Implementierung in der WebCrypto API, weil diese einen
leeren Initialisierungsvektor (0-length IV) akzeptiert, obwohl nach der
Spezifikation ‘NIST Special Publication 800-38D’ die Länge ‘1’
vorgeschrieben ist. In einigen Fällen kann dadurch der
Authentifizierungsschlüssel bestimmt werden. Ein entfernter, nicht
authentisierter Angreifer kann durch das Ausnutzen der Schwachstelle
Informationen ausspähen.
CVE-2017-7821: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen
In Mozilla Firefox besteht eine Schwachstelle, wodurch eine Web-Erweiterung
(WebExtensions) nicht ausführbare Dateien herunterladen und öffnen kann,
ohne dass eine Benutzerinteraktion notwendig ist. Ein entfernter, nicht
authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen und Dateien
unerlaubt herunterladen und öffnen. Dadurch ist es dem Angreifer möglich
bekannte Schwachstellen in den Programmen auszunutzen, mit denen die Dateien
geöffnet werden.
CVE-2017-7820: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen
In Mozilla Firefox existiert eine Schwachstelle, weil der
‘instanceof’-Operator den ‘Xray wrapper’-Mechanismus umgehen kann. Wird
dieser von Webinhalten durch den Browser oder eine Erweiterung aufgerufen,
können die Webinhalte dem Operator ein eigenes Ergebnis bereitstellen und
den Browser dazu verleiten ein Element fehlerhaft zu behandeln. Ein
entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen.
CVE-2017-7819: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Denial-of-Service-Angriff
In Mozilla Firefox und Firefox ESR existiert eine
Use-after-free-Schwachstelle im Design Mode, wenn für Bildobjekte
Größenanpassungen vorgenommen werden. Ein entfernter, nicht authentisierter
Angreifer kann dies ausnutzen und einen Absturz der Anwendung provozieren
(Denial-of-Service, DoS), der sich möglicherweise für weitere Angriffe
ausnutzen lässt (exploitable Crash).
CVE-2017-7818: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Denial-of-Service-Angriff
In Mozilla Firefox und Firefox ESR existiert eine
Use-after-free-Schwachstelle, wenn über das DOM (Document Object Model)
Arrays mit Accessible Rich Internet Applications (ARIA)-Elementen innerhalb
von Containern manipuliert werden. Ein entfernter, nicht authentisierter
Angreifer kann dies ausnutzen und einen Absturz der Anwendung provozieren
(Denial-of-Service, DoS), der sich möglicherweise für weitere Angriffe
ausnutzen lässt (exploitable Crash).
CVE-2017-7817: Schwachstelle in Firefox for Android ermöglicht Darstellen
falscher Informationen
In Mozilla Firefox for Android existiert eine Schwachstelle, wenn eine Seite
in den Vollbildmodus wechselt ohne den Benutzer darüber zu informieren. Dies
ermöglicht es einem Angreifer eine gefälschte Adresszeile darzustellen
(Spoofing), wodurch zu der dargestellten Webseite eine falsche Adresse
vorgetäuscht werden kann, die den Benutzer zu Aktionen im Kontext dieser
Webseite verleiten soll. Ein entfernter, nicht authentisierter Angreifer
kann falsche Informationen darstellen.
CVE-2017-7816: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen
In Mozilla Firefox besteht eine Schwachstelle, die es einer Web-Erweiterung
(WebExtensions) ermöglicht über die eigene Benutzeroberfläche Popup-Fenster
und Panels dazu zu verwenden privilegierte ‘about:’-URL’s aufzurufen, womit
Sicherheitsvorkehrungen, die dieses Verhalten verbieten, umgangen werden.
Ein entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen.
CVE-2017-7815: Schwachstelle in Mozilla Firefox ermöglicht Darstellen
falscher Informationen
In Mozilla Firefox besteht eine Schwachstelle, wenn die Option ‘e10s
Multiprocess’ deaktiviert ist, wodurch auf Webseiten mit eingebettetem
iFrame das ‘data:’-Protokoll ausgenutzt werden kann, um über JavaScript
einen modalen Dialog mit beliebigem Domänennamen darzustellen. Ein
entfernter, nicht authentisierter Angreifer kann falsche Informationen in
einem modalen Dialog darstellen.
CVE-2017-7814: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Umgehen von Sicherheitsvorkehrungen
Werden Downloads in Mozilla Firefox und Firefox ESR mit ‘blob:’- und
‘data:’-URL-Elementen kodiert, werden die gewöhnlichen Prüfungen für
Datei-Downloads sowie die Block-Liste für bösartige Webseiten und Dateien
des ‘Phishing and Malware Protection’-Features umgangen. Ein Angreifer kann
dies ausnutzen und einen Benutzer dazu verleiten Dateien herunterzuladen,
welche ansonsten als verdächtig erkannt werden würden. Ein entfernter, nicht
authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen.
CVE-2017-7813: Schwachstelle in Mozilla Firefox ermöglicht
Denial-of-Service-Angriff und Ausspähen von Informationen
Im JavaScript-Parser in Mozilla Firefox besteht eine Schwachstelle, weil das
Umwandeln (Cast) einer Variablen vom Typ ‘Integer’ in einen kleineren
Datentyp (narrower Type) dazu führen kann, dass der JavaScript-Parser Daten
außerhalb des Pufferspeichers verarbeitet. Ein entfernter, nicht
authentisierter Angreifer kann dies ausnutzen und die Anwendung abstürzen
lassen (Denial-of-Service) oder geringe Mengen an Informationen ausspähen,
wenn die JavaScript-Identifier-Syntax dabei zutrifft.
CVE-2017-7812: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen
In Mozilla Firefox besteht eine Schwachstelle, wenn Webinhalte auf einer
Seite auf Teile der Browser-Benutzeroberfläche (UI) gezogen werden,
beispielsweise auf die Tab-Leiste, da dadurch Links geöffnet werden können,
die sonst nicht geöffnet werden dürfen. Ein lokaler, nicht authentisierter
Angreifer kann dies über bösartig präparierte Webinhalte ausnutzen und über
‘file:’-URL’s auf lokale Dateien zugreifen.
CVE-2017-7811: Schwachstellen in Mozilla Firefox ermöglichen Ausführung
beliebigen Programmcodes
Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla
Firefox, die zu Speicherfehlern führen können (Memory Safety Bugs). Dazu
können beispielsweise Pufferüberläufe, Fehler bei der dynamischen
Speicherverwaltung, nicht initialisierte Variablen und die Erschöpfung von
Speicher gehören. Der Hersteller geht davon aus, dass einige der
Schwachstellen von einem entfernten, nicht authentifizierten Angreifer für
die Ausführung beliebigen Programmcodes ausgenutzt werden können.
CVE-2017-7810: Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen
Ausführung beliebigen Programmcodes
Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla
Firefox und Firefox ESR, die zu Speicherfehlern führen können (Memory Safety
Bugs). Dazu können beispielsweise Pufferüberläufe, Fehler bei der
dynamischen Speicherverwaltung, nicht initialisierte Variablen und die
Erschöpfung von Speicher gehören. Der Hersteller geht davon aus, dass einige
der Schwachstellen von einem entfernten, nicht authentifizierten Angreifer
für die Ausführung beliebigen Programmcodes ausgenutzt werden können.
CVE-2017-7805: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Denial-of-Service-Angriff
In Mozilla Firefox und Firefox ESR existiert eine
Use-after-free-Schwachstelle, die während des TLS 1.2 Handshakes auftreten
kann. Dabei erstellte Handshake-Hashes referenzieren mit einem Zeiger
Speicherbereiche in einem Nachrichtenpuffer, dessen Daten für spätere
Nachrichten verwendet werden. In einigen Fällen kann dieser Speicher durch
das Handshake-Protokoll aufgebraucht werden, wodurch ein neuer
Pufferspeicher alloziert und der alte freigegeben wird, obwohl die Zeiger
der Hashes noch auf den alten Pufferspeicher zeigen. Ein entfernter, nicht
authentisierter Angreifer kann dies ausnutzen und einen Absturz der
Anwendung provozieren (Denial-of-Service, DoS), der sich möglicherweise für
weitere Angriffe ausnutzen lässt (exploitable Crash).
CVE-2017-7793: Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht
Denial-of-Service-Angriff
In Mozilla Firefox und Firefox ESR existiert eine
Use-after-free-Schwachstelle in der Fetch API, wodurch ein Worker oder das
damit verbundene Fenster freigegeben werden können, obwohl diese noch
verwendet werden. Ein entfernter, nicht authentisierter Angreifer kann dies
ausnutzen und einen Absturz der Anwendung provozieren (Denial-of-Service,
DoS), der sich möglicherweise für weitere Angriffe ausnutzen lässt
(exploitable Crash).
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1710/
Mozilla Foundation Security Advisory MFSA 2017-21:
https://www.mozilla.org/en-US/security/advisories/mfsa2017-21/
Mozilla Foundation Security Advisory MFSA 2017-22:
https://www.mozilla.org/en-US/security/advisories/mfsa2017-22/
Oracle Linux Security Advisory ELSA-2017-2831:
https://linux.oracle.com/errata/ELSA-2017-2831.html
Oracle Linux Security Advisory ELSA-2017-2832:
https://linux.oracle.com/errata/ELSA-2017-2832.html
Red Hat Security Advisory RHSA-2017:2831:
https://access.redhat.com/errata/RHSA-2017:2831
Red Hat Security Advisory RHSA-2017:2832:
https://access.redhat.com/errata/RHSA-2017:2832
Tor Browser 7.0.6 Release Notes:
https://blog.torproject.org/tor-browser-706-released
Tor Browser 7.5a5 Release Notes:
https://blog.torproject.org/tor-browser-75a5-released
Schwachstelle CVE-2017-7793 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7793
Schwachstelle CVE-2017-7805 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7805
Schwachstelle CVE-2017-7810 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7810
Schwachstelle CVE-2017-7811 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7811
Schwachstelle CVE-2017-7812 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7812
Schwachstelle CVE-2017-7813 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7813
Schwachstelle CVE-2017-7814 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7814
Schwachstelle CVE-2017-7815 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7815
Schwachstelle CVE-2017-7816 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7816
Schwachstelle CVE-2017-7817 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7817
Schwachstelle CVE-2017-7818 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7818
Schwachstelle CVE-2017-7819 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7819
Schwachstelle CVE-2017-7820 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7820
Schwachstelle CVE-2017-7821 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7821
Schwachstelle CVE-2017-7822 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7822
Schwachstelle CVE-2017-7823 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7823
Schwachstelle CVE-2017-7824 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7824
Schwachstelle CVE-2017-7825 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7825
Debian Security Advisory DSA-3987-1:
https://www.debian.org/security/2017/dsa-3987
Fedora Security Update FEDORA-2017-2c933656a2 (Fedora 25, firefox-56.0-2.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2c933656a2
Fedora Security Update FEDORA-2017-3ede6585dc (Fedora 27,
firefox-56.0-3.fc27):
https://bodhi.fedoraproject.org/updates/firefox-56.0-3.fc27
Fedora Security Update FEDORA-2017-730e299c49 (Fedora 26, firefox-56.0-2.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-730e299c49
Fedora Security Update FEDORA-2017-825ffaa9fc (Fedora 26, firefox-56.0-3.fc26):
https://bodhi.fedoraproject.org/updates/firefox-56.0-3.fc26
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
