Kurzinfo CB-K16/0137 Update 3

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Mozilla Firefox, Firefox ESR, Debian Iceweasel, XULRunner: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes
Datum: 02.02.2016
Software: Debian Iceweasel < 38.6.0 ESR, Mozilla Firefox < 44, Mozilla Firefox ESR < 38.6, Netscape Portable Runtime (NSPR) < 4.11, Mozilla Network Security Services < 3.21, XULRunner < 38.6.0
Plattform: Apple Mac OS X, Canonical Ubuntu Linux 12.04 Lts, Canonical Ubuntu Linux 14.04 Lts, Canonical Ubuntu Linux 15.04, Canonical Ubuntu Linux 15.10, Debian Linux 7.9 Wheezy, Debian Linux 8.2 Jessie, GNU/Linux, Google Android Operating System, Microsoft Windows , openSUSE 13.1, openSUSE 13.2, openSUSE Leap 42.1, Red Hat Enterprise Linux Desktop 5 Client, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux HPC Node 6, Red Hat Enterprise Linux Server 5, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 6.7.z EUS, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2016-1930, CVE-2016-1931, CVE-2016-1933, CVE-2016-1935, CVE-2016-1937, CVE-2016-1938, CVE-2016-1939, CVE-2016-1940, CVE-2016-1941, CVE-2016-1942, CVE-2016-1943, CVE-2016-1944, CVE-2016-1945, CVE-2016-1946, CVE-2016-1947, CVE-2016-1948
Bezug: Mozilla Foundation Security Advisory 2016-01
Beschreibung

Iceweasel ist die Debian Version des Mozilla Firefox Webbrowsers.

Firefox ist der Open-Source Webbrowser der Mozilla Foundation.

Firefox ESR (Extended Support Release) ist der Open-Source Webbrowser für Gruppen, die die Desktop-Umgebung in großen Organisationen flächendeckend installieren und warten.

Die Netscape Portable Runtime (NSPR) bietet systemnahe und libc-ähnliche Funktionen für eine plattformunabhängige Programmierschnittstelle. NSPR wird von Mozilla Client-Software, verschiedenen Serveranwendungen sowie weiterer Software eingesetzt.

Die Mozilla Network Security Services (NSS) stellen Bibliotheken und Funktionen für eine sichere Kommunikation zwischen Client und Server für unterschiedliche Systeme zur Verfügung.

XULRunner ist eine von von der Mozilla Foundation entwickelte Laufzeitumgebung für "XML User Interface Language“-basierte Anwendungen. Das Programm nutzt dafür die Gecko-Engine Bibliothek libxul.

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR vor Version 44 bzw. 38.6 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, das Darstellen falscher Informationen und das Durchführen von Denial-of-Service (DoS)-Angriffen. Für Fedora 22 und 23 steht die neue Version 44.0 von Firefox als Sicherheitsupdate im Status 'pending' zur Verfügung. Für Red Hat Enterprise Linux 5, 6 und 7 stehen Sicherheitsupdates in der Form aktueller Firefox ESR 38.6 Pakete bereit, welche die Schwachstellen CVE-2016-1930 und CVE-2016-1935 adressieren. Update: Für die Distributionen openSUSE 13.1 und 13.2 sowie openSUSE Leap 42.1 stehen Sicherheitsupdates für Firefox auf Version 44.0, NSS auf Version 3.21 und NSPR auf Version 4.11 bereit. Diese Sicherheitsupdates behandeln nicht CVE-2016-1940, CVE-2016-1941 und CVE-2016-1948. CVE-2016-1940 betrifft nur Firefox für Android. Für die Distribution openSUSE Leap 42.1 steht außerdem ein Sicherheitsupdate für XULRunner auf Version 38.6.0 zur Verfügung, um die Schwachstellen CVE-2016-1930 und CVE-2016-1935 zu schließen.

  1. Fedora Security Update FEDORA-2016-4c57c232c0 (Fedora 22, XULRunner 44.0)

  2. Fedora Security Update FEDORA-2016-a69ee02554 (Fedora 23, XULRunner 44.0)

  3. Fedora Security Update FEDORA-2016-c12fa80d79 (Fedora 23, Firefox 44.0)

  4. Fedora Security Update FEDORA-2016-f2980b4099 (Fedora 22, Firefox 44.0)

  5. Mozilla Foundation Security Advisory 2016-01

  6. Mozilla Foundation Security Advisory 2016-02

  7. Mozilla Foundation Security Advisory 2016-03

  8. Mozilla Foundation Security Advisory 2016-04

  9. Mozilla Foundation Security Advisory 2016-05

  10. Mozilla Foundation Security Advisory 2016-06

  11. Mozilla Foundation Security Advisory 2016-07

  12. Mozilla Foundation Security Advisory 2016-08

  13. Mozilla Foundation Security Advisory 2016-09

  14. Mozilla Foundation Security Advisory 2016-10

  15. Mozilla Foundation Security Advisory 2016-11

  16. Mozilla Foundation Security Advisory 2016-12

  17. Red Hat Security Advisory RHSA-2016:0071

  18. Ubuntu Security Notice USN-2880-1

  19. Mozilla Firefox Release Notes 44.0

  20. Schwachstelle CVE-2016-1930 (NVD)

  21. Schwachstelle CVE-2016-1931 (NVD)

  22. Schwachstelle CVE-2016-1933 (NVD)

  23. Schwachstelle CVE-2016-1935 (NVD)

  24. Schwachstelle CVE-2016-1937 (NVD)

  25. Schwachstelle CVE-2016-1938 (NVD)

  26. Schwachstelle CVE-2016-1939 (NVD)

  27. Schwachstelle CVE-2016-1940 (NVD)

  28. Schwachstelle CVE-2016-1941 (NVD)

  29. Schwachstelle CVE-2016-1942 (NVD)

  30. Schwachstelle CVE-2016-1943 (NVD)

  31. Schwachstelle CVE-2016-1944 (NVD)

  32. Schwachstelle CVE-2016-1945 (NVD)

  33. Schwachstelle CVE-2016-1946 (NVD)

  34. Schwachstelle CVE-2016-1947 (NVD)

  35. Schwachstelle CVE-2016-1948 (NVD)

  36. Debian Security Advisory DSA-3457-1

  37. openSUSE Security Update openSUSE-SU-2016:0306-1

  38. openSUSE Security Update openSUSE-SU-2016:0309-1

  39. openSUSE Security Update openSUSE-SU-2016:0310-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.