Kurzinfo CB-K16/0137 Update 4

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Mozilla Firefox, Firefox ESR, Debian Iceweasel, XULRunner: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes
Datum: 05.02.2016
Software: Debian Iceweasel < 38.6.0 ESR, Mozilla Firefox < 44, Mozilla Firefox ESR < 38.6, Netscape Portable Runtime (NSPR) < 4.11, Mozilla Network Security Services < 3.21, XULRunner < 38.6.0
Plattform: SUSE Linux Enterprise Software Development Kit 11 SP3, SUSE Linux Enterprise Software Development Kit 11 SP4, SUSE Linux Enterprise Software Development Kit 12, SUSE Linux Enterprise Software Development Kit 12 SP1, Apple Mac OS X, Canonical Ubuntu Linux 12.04 Lts, Canonical Ubuntu Linux 14.04 Lts, Canonical Ubuntu Linux 15.04, Canonical Ubuntu Linux 15.10, Debian Linux 7.9 Wheezy, Debian Linux 8.2 Jessie, GNU/Linux, Google Android Operating System, Microsoft Windows , openSUSE 13.1, openSUSE 13.2, openSUSE Leap 42.1, SUSE Linux Enterprise Desktop 11 SP3, SUSE Linux Enterprise Desktop 11 SP4, SUSE Linux Enterprise Desktop 12, SUSE Linux Enterprise Desktop 12 SP1, SUSE Linux Enterprise Server 11 SP3, SUSE Linux Enterprise Server 11 SP3 for VMware, SUSE Linux Enterprise Server 11 SP4, SUSE Linux Enterprise Server 12, SUSE Linux Enterprise Server 12 SP1, Red Hat Enterprise Linux Desktop 5 Client, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux HPC Node 6, Red Hat Enterprise Linux Server 5, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 6.7.z EUS, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2016-1930, CVE-2016-1931, CVE-2016-1933, CVE-2016-1935, CVE-2016-1937, CVE-2016-1938, CVE-2016-1939, CVE-2016-1940, CVE-2016-1941, CVE-2016-1942, CVE-2016-1943, CVE-2016-1944, CVE-2016-1945, CVE-2016-1946, CVE-2016-1947, CVE-2016-1948
Bezug: Mozilla Foundation Security Advisory 2016-01
Beschreibung

Iceweasel ist die Debian Version des Mozilla Firefox Webbrowsers.

Firefox ist der Open-Source Webbrowser der Mozilla Foundation.

Firefox ESR (Extended Support Release) ist der Open-Source Webbrowser für Gruppen, die die Desktop-Umgebung in großen Organisationen flächendeckend installieren und warten.

Die Netscape Portable Runtime (NSPR) bietet systemnahe und libc-ähnliche Funktionen für eine plattformunabhängige Programmierschnittstelle. NSPR wird von Mozilla Client-Software, verschiedenen Serveranwendungen sowie weiterer Software eingesetzt.

Die Mozilla Network Security Services (NSS) stellen Bibliotheken und Funktionen für eine sichere Kommunikation zwischen Client und Server für unterschiedliche Systeme zur Verfügung.

XULRunner ist eine von von der Mozilla Foundation entwickelte Laufzeitumgebung für "XML User Interface Language“-basierte Anwendungen. Das Programm nutzt dafür die Gecko-Engine Bibliothek libxul.

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR vor Version 44 bzw. 38.6 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, das Darstellen falscher Informationen und das Durchführen von Denial-of-Service (DoS)-Angriffen. Für Fedora 22 und 23 steht die neue Version 44.0 von Firefox als Sicherheitsupdate im Status 'pending' zur Verfügung. Für Red Hat Enterprise Linux 5, 6 und 7 stehen Sicherheitsupdates in der Form aktueller Firefox ESR 38.6 Pakete bereit, welche die Schwachstellen CVE-2016-1930 und CVE-2016-1935 adressieren. Update: Für SUSE Linux Enterprise Software Development Kit 12-SP1, 12, 11-SP4 und 11-SP3; Server 12-SP1, 12, 11-SP4 und 11-SP3; Server for VMWare 11-SP3 sowie Desktop 12-SP1, 12, 11-SP4 und 11-SP3 stehen Sicherheitsupdates für Mozilla Firefox auf Version 38.6.0 ESR und Mozilla Network Security Services (NSS) auf Version 3.20.2 zur Verfügung. Diese Sicherheitsupdates behandeln die Schwachstellen CVE-2016-1930, CVE-2016-1935 und CVE-2016-1938.

  1. Fedora Security Update FEDORA-2016-4c57c232c0 (Fedora 22, XULRunner 44.0)

  2. Fedora Security Update FEDORA-2016-a69ee02554 (Fedora 23, XULRunner 44.0)

  3. Fedora Security Update FEDORA-2016-c12fa80d79 (Fedora 23, Firefox 44.0)

  4. Fedora Security Update FEDORA-2016-f2980b4099 (Fedora 22, Firefox 44.0)

  5. Mozilla Foundation Security Advisory 2016-01

  6. Mozilla Foundation Security Advisory 2016-02

  7. Mozilla Foundation Security Advisory 2016-03

  8. Mozilla Foundation Security Advisory 2016-04

  9. Mozilla Foundation Security Advisory 2016-05

  10. Mozilla Foundation Security Advisory 2016-06

  11. Mozilla Foundation Security Advisory 2016-07

  12. Mozilla Foundation Security Advisory 2016-08

  13. Mozilla Foundation Security Advisory 2016-09

  14. Mozilla Foundation Security Advisory 2016-10

  15. Mozilla Foundation Security Advisory 2016-11

  16. Mozilla Foundation Security Advisory 2016-12

  17. Red Hat Security Advisory RHSA-2016:0071

  18. Ubuntu Security Notice USN-2880-1

  19. Mozilla Firefox Release Notes 44.0

  20. Schwachstelle CVE-2016-1930 (NVD)

  21. Schwachstelle CVE-2016-1931 (NVD)

  22. Schwachstelle CVE-2016-1933 (NVD)

  23. Schwachstelle CVE-2016-1935 (NVD)

  24. Schwachstelle CVE-2016-1937 (NVD)

  25. Schwachstelle CVE-2016-1938 (NVD)

  26. Schwachstelle CVE-2016-1939 (NVD)

  27. Schwachstelle CVE-2016-1940 (NVD)

  28. Schwachstelle CVE-2016-1941 (NVD)

  29. Schwachstelle CVE-2016-1942 (NVD)

  30. Schwachstelle CVE-2016-1943 (NVD)

  31. Schwachstelle CVE-2016-1944 (NVD)

  32. Schwachstelle CVE-2016-1945 (NVD)

  33. Schwachstelle CVE-2016-1946 (NVD)

  34. Schwachstelle CVE-2016-1947 (NVD)

  35. Schwachstelle CVE-2016-1948 (NVD)

  36. Debian Security Advisory DSA-3457-1

  37. openSUSE Security Update openSUSE-SU-2016:0306-1

  38. openSUSE Security Update openSUSE-SU-2016:0309-1

  39. openSUSE Security Update openSUSE-SU-2016:0310-1

  40. SUSE Security Update SUSE-SU-2016:0334-1

  41. SUSE Security Update SUSE-SU-2016:0338-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.