UPDATE: DFN-CERT-2018-0210 Mozilla Firefox: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora][Apple][Windows]

UPDATE: DFN-CERT-2018-0210 Mozilla Firefox: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (01.02.2018):
Für Fedora 26 und 27 stehen Sicherheitsupdates in Form von
‘firefox-58.0.1-1’-Paketen zur Behebung der Schwachstelle bereit. Das
Sicherheitsupdate für Fedora 27 befindet sich bereits im Status ‘stable’,
während das Sicherheitsupdate für Fedora 26 noch den Status ‘testing’
besitzt. Canonical veröffentlicht für die Distributionen Ubuntu 14.04 LTS,
Ubuntu 16.04 LTS und Ubuntu 17.10 ebenfalls eine Aktualisierung auf die
Firefox Version 58.0.1.
Version 1 (30.01.2018):
Neues Advisory

Betroffene Software:

Mozilla Firefox < 58.0.1 Betroffene Plattformen: Apple macOS Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.10 GNU/Linux Microsoft Windows Red Hat Fedora 26 Red Hat Fedora 27 Ein entfernter, nicht authentisierter Angreifer kann vermutlich mit Hilfe einer präparierten Website und einer manipulierten CPV-Datei (Chrome Privileged Document) via Cross-Site-Scripting (XSS)-Angriff beliebigen Programmcode zur Ausführung bringen. Der Hersteller behebt die Schwachstelle mit der außerhalb der üblichen Release-Zyklen veröffentlichten Firefox Version 58.0.1 und stuft das Sicherheitsupdate als kritisch ein. Patch: Mozilla Foundation Security Advisory MFSA 2018-05 (Firefox 58.0.1) https://www.mozilla.org/en-US/security/advisories/mfsa2018-05/

Patch:

Fedora Security Update FEDORA-2018-79db828bff (Fedora 27,
firefox-58.0.1-1.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-79db828bff

Patch:

Fedora Security Update FEDORA-2018-d9706e9f1f (Fedora 26,
firefox-58.0.1-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-d9706e9f1f

Patch:

Ubuntu Security Notice USN-3552-1

http://www.ubuntu.com/usn/usn-3552-1/

CVE-2018-5124: Schwachstelle in Firefox ermöglicht Ausführung beliebigen
Programmcodes

In Firefox 58 existiert eine Schwachstelle im User Interface (UI) aufgrund
ungenügender Überprüfung von Eingaben. Infolgedessen wird der Inhalt von
CPV-Dateien (Chrome Privileged Document) nicht ausreichend bereinigt und
kann unter Umständen zur Ausführung gelangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0210/

Mozilla Foundation Security Advisory MFSA 2018-05 (Firefox 58.0.1):
https://www.mozilla.org/en-US/security/advisories/mfsa2018-05/

Mozilla Firefox 58.0.1 Release Notes:
https://www.mozilla.org/en-US/firefox/58.0.1/releasenotes/

Schwachstelle CVE-2018-5124 (Mozilla):
https://bugzilla.mozilla.org/show_bug.cgi?id=1432966

Schwachstelle CVE-2018-5124 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5124

Fedora Security Update FEDORA-2018-79db828bff (Fedora 27,
firefox-58.0.1-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-79db828bff

Fedora Security Update FEDORA-2018-d9706e9f1f (Fedora 26,
firefox-58.0.1-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-d9706e9f1f

Ubuntu Security Notice USN-3552-1:
http://www.ubuntu.com/usn/usn-3552-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben