Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 6 (17.11.2017):
openSUSE stellt für die Distributionen openSUSE Leap 42.2 und 42.3
Sicherheitsupdates auf die Firefox ESR Version 52.5 bereit.
Version 5 (16.11.2017):
Canonical veröffentlicht Version 57.0 des Browsers Mozilla Firefox für
Ubuntu Linux 14.04 LTS, 16.04 LTS, 17.04 und 17.10 zur Behebung der
Schwachstellen.
Version 4 (16.11.2017):
Für die stabile Distribution Stretch und die alte stabile Distribution
Jessie stehen Sicherheitsupdates auf die Firefox ESR Version 52.5 bereit.
Version 3 (15.11.2017):
Das Tor Browser Projekt veröffentlicht zur Behebung der Schwachstellen die
auf Firefox ESR 52.5 basierende stabile Version 7.0.10 des Browsers und
verwendet darin nun die Tor-Version 0.3.1.8 sowie die
HTTPS-Everywhere-Version 2017.10.30.
Version 2 (15.11.2017):
Die Mozilla Foundation veröffentlicht Informationen zu den mit Mozilla
Firefox 57 und Firefox ESR 52.5 geschlossenen Schwachstellen. Die
Sicherheitsupdates sind ab sofort als Download verfügbar.
Version 1 (13.11.2017):
Neues Advisory
Betroffene Software:
Mozilla Firefox < 57 Mozilla Firefox ESR < 52.5 Tor Browser < 7.0.10 Betroffene Plattformen: Apple macOS Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.04 Canonical Ubuntu Linux 17.10 Debian Linux 8.9 Jessie Debian Linux 9.2 Stretch GNU/Linux Microsoft Windows openSUSE Leap 42.2 openSUSE Leap 42.3 Red Hat Fedora 25 Red Hat Fedora 26 Red Hat Fedora 27 Mehrere Schwachstellen in Mozilla Firefox 56 und möglicherweise früheren Versionen ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, die Darstellung falscher Informationen, das Ausspähen von Informationen und das Umgehen verschiedener Sicherheitsvorkehrungen. Eine weitere Schwachstelle ermöglicht einem lokalen, einfach authentisierten Angreifer die Eskalation seiner Privilegien und dadurch die Ausführung beliebigen Programmcodes mit den Rechten des Browsers. Mehrere Schwachstellen, die unter zwei CVE-Bezeichnern (CVE-2017-7826, CVE-2017-7828) zusammengefasst sind, betreffen auch Mozilla Firefox ESR 52.4 und können zur Ausführung beliebigen Programmcodes ausgenutzt werden, wie auch eine Schwachstelle (CVE-2017-7830), die das Ausspähen von Informationen ermöglicht. Die Mozilla Foundation stellt den Browser Firefox in der Version 57 und das Extended Support Release Firefox ESR in der Version 52.5 bereit, um die Schwachstellen zu beheben. Die neue Version 57 von Mozilla Firefox bringt tiefgreifende Veränderungen mit sich, die unter anderem auch die Funktionalität von Browser-Erweiterungen beeinträchtigen können. So werden veraltete auf XUL basierende Extensions nicht mehr unterstützt, sondern ausschließlich der neuere Typ 'WebExtension'. Über die mit dem 'Project Quantum' einhergehenden Änderungen wurden die Entwickler von Browser-Erweiterungen bereits vor längerer Zeit informiert. Für weitere Details sei auf den referenzierten Fedora Magazine Artikel verwiesen. Für Fedora 25, 26 und 27 steht Firefox 57 als Sicherheitsupdate im Status 'testing' zur Verfügung. Patch: Fedora Security Update FEDORA-2017-9a6569beb6 (Fedora 25, firefox-57.0-2.fc25) https://bodhi.fedoraproject.org/updates/FEDORA-2017-9a6569beb6
Patch:
Fedora Security Update FEDORA-2017-b410301903 (Fedora 26,
firefox-57.0-2.fc26)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-b410301903
Patch:
Fedora Security Update FEDORA-2017-e1e3fbcd3c (Fedora 27,
firefox-57.0-2.fc27)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-e1e3fbcd3c
Patch:
Mozilla Foundation Security Advisory MFSA 2017-24 (Firefox 57)
https://www.mozilla.org/en-US/security/advisories/mfsa2017-24/
Patch:
Mozilla Foundation Security Advisory MFSA 2017-25 (Firefox ESR 52.5)
https://www.mozilla.org/en-US/security/advisories/mfsa2017-25/
Patch:
Tor Browser 7.0.10 Release Notes
https://blog.torproject.org/tor-browser-7010-released
Patch:
Debian Security Advisory DSA-4035-1
https://www.debian.org/security/2017/dsa-4035
Patch:
Ubuntu Security Notice USN-3477-1
http://www.ubuntu.com/usn/usn-3477-1/
Patch:
openSUSE Security Update openSUSE-SU-2017:3027-1
http://lists.opensuse.org/opensuse-updates/2017-11/msg00052.html
CVE-2017-7842: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen
Unter bestimmten Umständen werden zwei statt einer Anfrage für ein
-Element abgesetzt, wenn das Referrer-Policy-Attribut auf
‘no-referrer’ gesetzt ist. Eine dieser Anfragen enthält dann entgegen der
Vorgabe den Referrer, wodurch ein entfernter, nicht authentisierter
Angreifer Sicherheitsvorkehrungen umgehen und Informationen ausspähen kann.
CVE-2017-7840: Schwachstelle in Mozilla Firefox ermöglicht Auführung
beliebigen Programmcodes
JavaScript-Programmcode kann in eine Lesezeichendatei injiziert werden, da
dort beim Export bestimmte Tags nicht bereinigt werden. Ein entfernter,
nicht authentisierter Angreifer, der einen Benutzer der Software zum Aufruf
einer solchen Datei im Browser verleitet, kann dadurch beliebigen
Script-Programmcode zur Ausführung bringen.
CVE-2017-7839: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen
Kontrollzeichen, die ‘javascript:’-URLs vorangestellt und mit in die
Adressleiste kopiert werden, können dazu verwendet werden, den Schutz vor
Selbst-Cross-Site-Scripting zu umgehen. Ein entfernter, nicht
authentisierter Angreifer kann die Schwachstelle ausnutzen, indem er einen
Benutzer der Software dazu verleitet, eine speziell präparierte URL in die
Adressleiste zu kopieren und aufzurufen. Dadurch kann beliebiger
JavaScript-Programmcode zur Ausführung gebracht werden.
CVE-2017-7838: Schwachstelle in Mozilla Firefox ermöglicht Darstellung
falscher Informationen
Wenn die Subdomain einer Webseite die Punycode-Darstellung in der
Browserleiste auslöst, wird diese Formatierung unter Umständen auch für die
Domain selbst übernommen. Ein entfernter, nicht authentisierter Angreifer
kann dadurch falsche Informationen darstellen.
CVE-2017-7837: Schwachstelle in Mozilla Firefox ermöglicht Manipulation von
Dateien
Über speziell präparierte ‘‘-Tags in SVG-Bilddateien, die in
‘‘-HTML-Tags geladen werden, kann ein entfernter, nicht authentisierter
Angreifer den Inhalt von Cookies für die jeweilige Webseite verändern.
CVE-2017-7836: Schwachstelle in Mozilla Firefox ermöglicht
Privilegieneskalation
Ping Sender wird von Mozilla Firefox im Firefox Health Report eingesetzt, um
einen Telemetrie-Ping abzusetzen. Die Software lädt dynamisch eine Kopie der
im System verwendeten libcurl, die ein lokaler, einfach authentisierter
Angreifer vorher durch eine eigene Bibliothek ersetzen kann. Der Angreifer
kann dadurch beliebigen Programmcode mit den Rechten von Firefox zur
Ausführung bringen.
CVE-2017-7835: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen
Unsichere Unterressourcen eines sicheren Dokuments werden bei einer
Weiterleitung von HTTPS zu HTTP nicht ausreichend geblockt. Ein entfernter,
nicht authentisierter Angreifer kann mit Hilfe einer speziell präparierten
Webseite Sicherheitsvorkehrungen umgehen und dadurch möglicherweise
beliebigen Skript-Programmcode nachladen.
CVE-2017-7834: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von
Sicherheitsvorkehrungen
Wenn ‘data:’-URLs in einem neuen Tab geladen werden, erben sie nicht die
Content Security Policy (CSP) der ursprünglichen Seite. Ein entfernter,
nicht authentisierter Angreifer kann diese Sicherheitsvorkehrungen umgehen
und in der Folge beliebigen JavaScript-Programmcode zur Ausführung bringen
oder einen Cross-Site-Scripting-Angriff durchführen.
CVE-2017-7833: Schwachstelle in Mozilla Firefox ermöglicht Darstellung
falscher Informationen
Einige Zeichen, mit denen arabische und indische Vokale markiert werden,
können in der Adressleiste des Browsers von lateinischen Zeichen verdeckt
werden. Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe
entsprechend präparierter Webseiten und Domainbezeichner falsche
Informationen darstellen.
CVE-2017-7832: Schwachstelle in Mozilla Firefox ermöglicht Darstellung
falscher Informationen
Das Zeichen für den Kleinbuchstaben ‘i’ ohne den I-Punkt kann zusammen mit
Unicode-Zeichen für Gravis- oder Akut-Akzent verwendet werden, um den
Kleinbuchstaben ‘i’ in der Adressleiste vorzutäuschen. Ein entfernter, nicht
authentisierter Angreifer kann mit Hilfe entsprechend präparierter Webseiten
und Domainbezeichner falsche Informationen darstellen.
CVE-2017-7831: Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von
Informationen
Über den nicht mehr unterstützten Mechanismus ‘exposedProps’ für
Proxy-Objekte lassen sich diesen Objekten Eigenschaften zuweisen, die sie
nicht haben sollten. Der Security Wrapper unterbindet den Zugriff auf diese
Eigenschaften (Exposed Properties) nicht ausreichend. Ein entfernter, nicht
authentisierter Angreifer kann dadurch Informationen ausspähen.
CVE-2017-7830: Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von
Informationen
Die Ressource Timing API von Mozilla Firefox gibt in iframes über
Quellgrenzen hinweg Navigationsinformationen preis (Cross-Origin Information
Leak). Ein entfernter, nicht authentisierter Angreifer kann dadurch
Informationen über das Surfverhalten von Benutzern ausspähen.
CVE-2017-7828: Schwachstelle in Mozilla Firefox ermöglicht Ausführung
beliebigen Programmcodes
Unter bestimmten Umständen wird das ‘PressShell’-Objekt freigegeben, während
es noch verwendet wird. Die Schwachstelle kann von einem entfernten, nicht
authentisierten Angreifer mit Hilfe einer speziell präparierten Webseite
ausgenutzt werden, wenn die Layout-Datenstruktur geleert und das Layout in
der Größe verändert wird, um einen ausnutzbaren Absturz des Browsers zu
erzeugen, über den sich beliebiger Programmcode ausführen lässt
(Use-after-Free).
CVE-2017-7827: Schwachstellen in Mozilla Firefox ermöglichen Ausführung
beliebigen Programmcodes
Mehrere Schwachstellen in Mozilla Firefox 56 können wahrscheinlich mit
geringem Aufwand zur Korruption von Speicher ausgenutzt werden. Ein
entfernter, nicht authentisierter Angreifer kann dadurch beliebigen
Programmcode zur Ausführung bringen.
CVE-2017-7826: Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen
Ausführung beliebigen Programmcodes
Mehrere Schwachstellen in Mozilla Firefox 56 und Firefox ESR 52.4 können
wahrscheinlich mit geringem Aufwand zur Korruption von Speicher ausgenutzt
werden. Ein entfernter, nicht authentisierter Angreifer kann dadurch
beliebigen Programmcode zur Ausführung bringen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2019/
fedora MAGAZINE: Firefox 57 coming soon: a Quantum leap:
https://fedoramagazine.org/firefox-57-coming-soon-quantum-leap/
Fedora Security Update FEDORA-2017-9a6569beb6 (Fedora 25, firefox-57.0-2.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-9a6569beb6
Fedora Security Update FEDORA-2017-b410301903 (Fedora 26, firefox-57.0-2.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-b410301903
Fedora Security Update FEDORA-2017-e1e3fbcd3c (Fedora 27, firefox-57.0-2.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-e1e3fbcd3c
Mozilla Foundation Security Advisory MFSA 2017-24 (Firefox 57):
https://www.mozilla.org/en-US/security/advisories/mfsa2017-24/
Schwachstelle CVE-2017-7826 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7826
Schwachstelle CVE-2017-7827 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7827
Schwachstelle CVE-2017-7828 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7828
Schwachstelle CVE-2017-7830 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7830
Schwachstelle CVE-2017-7831 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7831
Schwachstelle CVE-2017-7832 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7832
Schwachstelle CVE-2017-7833 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7833
Schwachstelle CVE-2017-7834 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7834
Schwachstelle CVE-2017-7835 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7835
Schwachstelle CVE-2017-7836 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7836
Schwachstelle CVE-2017-7837 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7837
Schwachstelle CVE-2017-7838 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7838
Schwachstelle CVE-2017-7839 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7839
Schwachstelle CVE-2017-7840 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7840
Schwachstelle CVE-2017-7842 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7842
Mozilla Foundation Security Advisory MFSA 2017-25 (Firefox ESR 52.5):
https://www.mozilla.org/en-US/security/advisories/mfsa2017-25/
Tor Browser 7.0.10 Release Notes:
https://blog.torproject.org/tor-browser-7010-released
Debian Security Advisory DSA-4035-1:
https://www.debian.org/security/2017/dsa-4035
Ubuntu Security Notice USN-3477-1:
http://www.ubuntu.com/usn/usn-3477-1/
openSUSE Security Update openSUSE-SU-2017:3027-1:
http://lists.opensuse.org/opensuse-updates/2017-11/msg00052.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
