Kurzinfo CB-K16/0384 Update 3

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Mozilla Firefox, Firefox ESR, NSS, Debian Iceweasel: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes
Datum: 16.03.2016
Software: Debian Iceweasel <= 38.6.1 ESR, Mozilla Firefox <= 44.0.2, Mozilla Firefox ESR <= 38.6.1, Netscape Portable Runtime (NSPR) < 4.12, Mozilla Network Security Services <= 3.19.2.2, Mozilla Network Security Services <= 3.21, Graphite2 <= 1.3.5, Tor Browser < 5.5.3, Tor Browser < 6.0a3, Tor Browser < 6.0a3-hardened, Tor Tails < 2.2
Plattform: SUSE Linux Enterprise Software Development Kit 11 SP4, SUSE Linux Enterprise Software Development Kit 12, SUSE Linux Enterprise Software Development Kit 12 SP1, Apple Mac OS X, Canonical Ubuntu Linux 12.04 Lts, Canonical Ubuntu Linux 14.04 Lts, Canonical Ubuntu Linux 15.10, Debian Linux 7.9 Wheezy, Debian Linux 8.3 Jessie, Debian Linux 9.0 Stretch, GNU/Linux, Google Android Operating System, Microsoft Windows , openSUSE 13.1, openSUSE 13.2, openSUSE Leap 42.1, SUSE Linux Enterprise Desktop 11 SP4, SUSE Linux Enterprise Desktop 12, SUSE Linux Enterprise Desktop 12 SP1, SUSE Linux Enterprise Server 11 SP3 LTSS, SUSE Linux Enterprise Server 11 SP4, SUSE Linux Enterprise Server 12, SUSE Linux Enterprise Server 12 SP1, Red Hat Enterprise Linux 5 Client Workstation, Red Hat Enterprise Linux Desktop 5 Client, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux HPC Node 6, Red Hat Enterprise Linux HPC Node 7, Red Hat Enterprise Linux HPC Node 7.2 EUS, Red Hat Enterprise Linux Server 5, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 6.7.z EUS, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server 7.2 AUS, Red Hat Enterprise Linux Server 7.2 EUS, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7, Red Hat Fedora 22, Red Hat Fedora 23
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2016-1950, CVE-2016-1952, CVE-2016-1953, CVE-2016-1954, CVE-2016-1955, CVE-2016-1956, CVE-2016-1957, CVE-2016-1958, CVE-2016-1959, CVE-2016-1960, CVE-2016-1961, CVE-2016-1962, CVE-2016-1963, CVE-2016-1964, CVE-2016-1965, CVE-2016-1966, CVE-2016-1967, CVE-2016-1968, CVE-2016-1969, CVE-2016-1970, CVE-2016-1971, CVE-2016-1972, CVE-2016-1973, CVE-2016-1974, CVE-2016-1975, CVE-2016-1976, CVE-2016-1977, CVE-2016-1979, CVE-2016-2790, CVE-2016-2791, CVE-2016-2792, CVE-2016-2793, CVE-2016-2794, CVE-2016-2795, CVE-2016-2796, CVE-2016-2797, CVE-2016-2798, CVE-2016-2799, CVE-2016-2800, CVE-2016-2801, CVE-2016-2802
Bezug: Fedora Security Update FEDORA-2016-5b2c402bb1 (Fedora 22, Firefox 45.0)
Beschreibung

Iceweasel ist die Debian Version des Mozilla Firefox Webbrowsers.

Firefox ist der Open-Source Webbrowser der Mozilla Foundation.

Firefox ESR (Extended Support Release) ist der Open-Source Webbrowser für Gruppen, die die Desktop-Umgebung in großen Organisationen flächendeckend installieren und warten.

Die Netscape Portable Runtime (NSPR) bietet systemnahe und libc-ähnliche Funktionen für eine plattformunabhängige Programmierschnittstelle. NSPR wird von Mozilla Client-Software, verschiedenen Serveranwendungen sowie weiterer Software eingesetzt.

Die Mozilla Network Security Services (NSS) stellen Bibliotheken und Funktionen für eine sichere Kommunikation zwischen Client und Server für unterschiedliche Systeme zur Verfügung.

Graphite2 ist eine quelloffene Schriftdarstellungssoftware. Sie dient vor allem zur Implementierung komplexer Schriftzeichen weniger bekannter Sprachen.

Der Tor Browser ist eine vorkonfigurierte Kombination aus dem Browser Mozilla Firefox, Tor Launcher, und dem Tor-Client, welcher das Web-Browsen innerhalb des Proxy Server Netzwerks Tor ermöglicht.

Tails ist ein Live-Betriebssystem, das auf auf vielen Computern von einer DVD, einem USB-Stick oder einer SD-Karte aus gestartet werden kann. Es zielt darauf ab, die Privatsphäre und Anonymität zu bewahren und unterstützt eine anonyme Nutzung des Internets.

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR vor Version 45 bzw. 38.7 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, die Manipulation von Dateien, das Ausspähen von Informationen, das Darstellen falscher Informationen und das Durchführen von Denial-of-Service (DoS)-Angriffen. Für Fedora 22 und 23 steht die neue Version 45.0 von Firefox als Sicherheitsupdate im Status 'pending' zur Verfügung. Für Red Hat Enterprise Linux 5, 6 und 7 stehen Sicherheitsupdates in der Form aktueller Firefox ESR 38.7 und NSS-Util 3.19.1 Pakete bereit, welche die Schwachstellen CVE-2016-1950, CVE-2016-1952, CVE-2016-1954, CVE-2016-1957, CVE-2016-1958, CVE-2016-1960 bis CVE-2016-1962,CVE-2016-1964 bis CVE-2016-1966, CVE-2016-1973, CVE-2016-1974, CVE-2016-1977, CVE-2016-2790 bis CVE-2016-2802 adressieren. Das Tor Projekt verwendet für die Produkte Tor Browser 5.5.3, alpha Tor Browser 6.0a3, hardened Tor Browser 6.0a3-hardened und Tails 2.2 ab sofort Firefox 38.7.0 ESR als Basis und stellt entsprechende Sicherheitsupdates zur Verfügung, die zusätzlich weitere Schwachstellen in anderen Komponenten adressieren. Canonical stellt für die Distributionen Ubuntu 15.10, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS Sicherheitsupdates auf die Firefox Version 45.0 bereit. Update: Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, Server 11 SP4 und 11 SP3 LTSS sowie Desktop 11 SP4 stehen Sicherheitsupdates für Firefox auf die Version 38.7.0 ESR und Mozilla NSPR auf Version 4.12 bereit. Die Schwachstellen in NSS werden über Backport-Sicherheitsupdates adressiert.

  1. Fedora Security Update FEDORA-2016-5b2c402bb1 (Fedora 22, Firefox 45.0)

  2. Fedora Security Update FEDORA-2016-be6d3fff4a (Fedora 23, Firefox 45.0)

  3. Mozilla Foundation Security Advisories March 8, 2016

  4. Mozilla Foundation Security Advisory 2016-16

  5. Mozilla Foundation Security Advisory 2016-17

  6. Mozilla Foundation Security Advisory 2016-18

  7. Mozilla Foundation Security Advisory 2016-19

  8. Mozilla Foundation Security Advisory 2016-20

  9. Mozilla Foundation Security Advisory 2016-21

  10. Mozilla Foundation Security Advisory 2016-22

  11. Mozilla Foundation Security Advisory 2016-23

  12. Mozilla Foundation Security Advisory 2016-24

  13. Mozilla Foundation Security Advisory 2016-25

  14. Mozilla Foundation Security Advisory 2016-26

  15. Mozilla Foundation Security Advisory 2016-27

  16. Mozilla Foundation Security Advisory 2016-28

  17. Mozilla Foundation Security Advisory 2016-29

  18. Mozilla Foundation Security Advisory 2016-30

  19. Mozilla Foundation Security Advisory 2016-31

  20. Mozilla Foundation Security Advisory 2016-32

  21. Mozilla Foundation Security Advisory 2016-33

  22. Mozilla Foundation Security Advisory 2016-34

  23. Mozilla Foundation Security Advisory 2016-35

  24. Mozilla Foundation Security Advisory 2016-36

  25. Mozilla Foundation Security Advisory 2016-37

  26. Red Hat Security Advisory RHSA-2016:0370-1

  27. Red Hat Security Advisory RHSA-2016:0371-1

  28. Red Hat Security Advisory RHSA-2016:0373-1

  29. Tails 2.2 Release Notes

  30. Tor Browser 5.5.3 Release Notes

  31. Tor Browser 6.0a3 Release Notes

  32. Tor Browser 6.0a3-hardened Release Notes

  33. Ubuntu Security Notice USN-2917-1

  34. Mozilla Firefox Release Notes 45.0

  35. Schwachstelle CVE-2016-1950 (NVD)

  36. Schwachstelle CVE-2016-1952 (NVD)

  37. Schwachstelle CVE-2016-1953 (NVD)

  38. Schwachstelle CVE-2016-1954 (NVD)

  39. Schwachstelle CVE-2016-1955 (NVD)

  40. Schwachstelle CVE-2016-1956 (NVD)

  41. Schwachstelle CVE-2016-1957 (NVD)

  42. Schwachstelle CVE-2016-1958 (NVD)

  43. Schwachstelle CVE-2016-1959 (NVD)

  44. Schwachstelle CVE-2016-1960 (NVD)

  45. Schwachstelle CVE-2016-1961 (NVD)

  46. Schwachstelle CVE-2016-1962 (NVD)

  47. Schwachstelle CVE-2016-1963 (NVD)

  48. Schwachstelle CVE-2016-1964 (NVD)

  49. Schwachstelle CVE-2016-1965 (NVD)

  50. Schwachstelle CVE-2016-1966 (NVD)

  51. Schwachstelle CVE-2016-1967 (NVD)

  52. Schwachstelle CVE-2016-1968 (NVD)

  53. Schwachstelle CVE-2016-1970 (NVD)

  54. Schwachstelle CVE-2016-1971 (NVD)

  55. Schwachstelle CVE-2016-1972 (NVD)

  56. Schwachstelle CVE-2016-1973 (NVD)

  57. Schwachstelle CVE-2016-1974 (NVD)

  58. Schwachstelle CVE-2016-1975 (NVD)

  59. Schwachstelle CVE-2016-1976 (NVD)

  60. Schwachstelle CVE-2016-1977 (NVD)

  61. Schwachstelle CVE-2016-1979 (NVD)

  62. Schwachstelle CVE-2016-2790 (NVD)

  63. Schwachstelle CVE-2016-2791 (NVD)

  64. Schwachstelle CVE-2016-2792 (NVD)

  65. Schwachstelle CVE-2016-2793 (NVD)

  66. Schwachstelle CVE-2016-2794 (NVD)

  67. Schwachstelle CVE-2016-2795 (NVD)

  68. Schwachstelle CVE-2016-2796 (NVD)

  69. Schwachstelle CVE-2016-2797 (NVD)

  70. Schwachstelle CVE-2016-2798 (NVD)

  71. Schwachstelle CVE-2016-2799 (NVD)

  72. Schwachstelle CVE-2016-2800 (NVD)

  73. Schwachstelle CVE-2016-2801 (NVD)

  74. Schwachstelle CVE-2016-2802 (NVD)

  75. Debian Security Advisory DSA-3510-1

  76. Mozilla Foundation Security Advisory MFSA 2016-38

  77. Ubuntu Security Notice USN-2924-1

  78. Schwachstelle CVE-2016-1969 (NVD)

  79. Debian Security Advisory DSA-3515-1

  80. SUSE Security Update SUSE-SU-2016:0727-1

  81. openSUSE Security Update openSUSE-SU-2016:0731-1

  82. openSUSE Security Update openSUSE-SU-2016:0733-1

  83. SUSE Security Update SUSE-SU-2016:0777-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.