Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 6 (09.04.18):
Das Sicherheitsupdate USN-3596-1 für Ubuntu 14.04 LTS und 16.04 LTS hat zu
einer Regression in Firefox geführt, die mit einem neuen Update
(USN-3596-2) behoben werden soll.
Version 5 (16.03.18):
Für Debian Jessie (oldstable) und Stretch (stable) stehen
Sicherheitsupdates auf Firefox ESR 52.7.1 zur Verfügung, um die für
Firefox ESR relevanten Schwachstellen zu adressieren. Dieses neue Release
von Firefox ESR 52.7 behebt keine zusätzlichen Schwachstellen.
Version 4 (15.03.18):
Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen jetzt
ebenfalls Sicherheitsupdates für ‘firefox’ auf die Version 52.7.0 ESR zur
Behebung der betreffenden Schwachstellen bereit.
Version 3 (15.03.18):
Für Red Hat Enterprise Linux 6 und 7 stehen Sicherheitsupdates für Firefox
ESR auf Version 52.7 bereit. Die Updates werden damit unter anderem für
Red Hat Enterprise Linux Desktop, Server und Workstation in den Versionen
6 und 7 sowie für Red Hat Enterprise Linux for Scientific Computing 6 und
Red Hat Enterprise Linux for ARM 64 7 zur Verfügung gestellt. Weitere
Sicherheitsupdates stehen für die speziellen Editionen Red Hat Enterprise
Linux Server AUS, EUS, 4 year EUS und TUS in Version 7.4 bereit. Des
weiteren wurden für Fedora 26 und 27 Sicherheitsupdates veröffentlicht,
mit denen Firefox auf Version 59 aktualisiert wird. Die Sicherheitsupdates
befinden sich noch im Status ‘pending’. Bei vorher veröffentlichten
Sicherheitsupdates für diese Distributionen kam es zunächst Problemen, die
mittlerweile behoben zu sein scheinen. Die vorab veröffentlichten
Sicherheitsupdates wurden in den Status ‘obsolete’ oder ‘unpushed’
versetzt.
Version 2 (15.03.18):
Canonical veröffentlicht für die Distributionen Ubuntu 17.10, Ubuntu 16.04
LTS und Ubuntu 14.04 LTS Sicherheitsupdates auf die Firefox Version 59.
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate auf die Firefox ESR
Version 52.7 zur Verfügung.
Version 1 (14.03.18):
Neues Advisory
Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen einem
zumeist entfernten, nicht authentisierten Angreifer die Ausführung
beliebigen Programmcodes, das Ausspähen von Informationen, die Darstellung
falscher Informationen, die Durchführung von Denial-of-Service
(DoS)-Angriffen und das Umgehen von Sicherheitsvorkehrungen mit Hilfe
speziell präparierter Webseiten und Erweiterungen. Eine der Schwachstellen
betrifft nur Firefox für Android.
Der Hersteller stellt Mozilla Firefox 59 und Firefox ESR 52.7 zur Behebung
der Schwachstellen bereit. Der Hersteller weist darauf hin, dass Benutzer
von Windows 7 nach dem Update möglicherweise von Browser-Abstürzen betroffen
sind, wenn sie bestimmte Bedienungshilfen verwenden. Für dieses Problem kann
über die Release Notes des Herstellers ein Workaround gefunden werden.
Auf Basis von Firefox ESR 52.7 wird zeitgleich der Tor Browser 7.5.1 zur
Verfügung gestellt. Dieser wird mit Tor 0.3.2.10 und weiteren Härtungen
gegen häufige Angriffe ausgeliefert.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0485]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
