Kurzinfo CB-K17/1637 Update 1

5 Risiko: sehr hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Datum: 02.10.2017
Software: Mozilla Firefox < 56, Mozilla Firefox ESR < 52.4, Tor Browser < 7.0.6, Tor Browser < 7.5a5
Plattform: Apple Mac OS X, macOS Sierra, Debian Linux 8.9 Jessie, Debian Linux 9.1 Stretch, GNU/Linux, Google Android Operating System, Microsoft Windows , Oracle Linux 6, Oracle Linux 7, Red Hat Enterprise Linux for Scientific Computing 6, Red Hat Enterprise Linux for Scientific Computing 7, Red Hat Enterprise Linux 7.4 EUS Compute Node, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server for ARM 7, Red Hat Enterprise Linux Server 7.4 AUS, Red Hat Enterprise Linux Server 7.4 EUS, Red Hat Enterprise Linux Server 7.4 TUS, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7, Red Hat Fedora 25, Red Hat Fedora 26, Red Hat Fedora 27
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: sehr hoch
CVE Liste: CVE-2017-7793, CVE-2017-7805, CVE-2017-7810, CVE-2017-7811, CVE-2017-7812, CVE-2017-7813, CVE-2017-7814, CVE-2017-7815, CVE-2017-7816, CVE-2017-7817, CVE-2017-7818, CVE-2017-7819, CVE-2017-7820, CVE-2017-7821, CVE-2017-7822, CVE-2017-7823, CVE-2017-7824, CVE-2017-7825
Bezug: Mozilla Foundation Security Advisory MFSA 2017-21
Revisions Historie
  • Version: 2

    Für Fedora 25 und 26 stehen Sicherheitsupdates auf den Firefox Browser Version 56 in Form der Pakete 'firefox-56.0-2.fc25' und 'firefox-56.0-2.fc26' im Status 'testing' zur Verfügung. Für Fedora 26 und 27 stehen die Sicherheitsupdates 'firefox-56.0-3.fc26' und 'firefox-56.0-3.fc27' im Status 'pending' bereit. Debian veröffentlicht für die stabile Distribution Stretch sowie die vormals stabile Distribution Jessie den Firefox ESR Browser in der Version 52.4 als Sicherheitsupdate.

  • Version: 1

    Neues Advisory

Beschreibung

Firefox ist der Open-Source Webbrowser der Mozilla Foundation.

Firefox ESR (Extended Support Release) ist der Open-Source Webbrowser für Gruppen, die die Desktop-Umgebung in großen Organisationen flächendeckend installieren und warten.

Der Tor Browser ist eine vorkonfigurierte Kombination aus dem Browser Mozilla Firefox, Tor Launcher, und dem Tor-Client, welcher das Web-Browsen innerhalb des Proxy Server Netzwerks Tor ermöglicht.

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, die Darstellung falscher Informationen sowie die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs und verschiedene Denial-of-Service (DoS)-Angriffe. Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen und beliebige lokale Dateien zu öffnen. Die Schwachstelle CVE-2017-7817 betrifft nur Firefox für Android und die Schwachstelle CVE-2017-7825 nur Firefox für Mac OS X-Betriebssysteme. Die Mozilla Foundation stellt den Browser Firefox in der Version 56 und das Extended Support Release Firefox ESR in der Version 52.4 bereit, um die Schwachstellen zu beheben. Das Tor Browser Projekt veröffentlicht zur Behebung der Schwachstellen die auf Firefox ESR 52.4 basierende stabile Version 7.0.6 des Browsers und verwendet darin nun die Tor-Version 0.3.1.7 sowie die HTTPS-Everywhere-Version 2017.9.12. Des weiteren wird die Alpha-Version 7.5a5 des Tor-Browsers zur Verfügung gestellt, welche ebenfalls auf Firefox ESR 52.4 basiert. Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Server, Desktop und Workstation sowie für Server for ARM 7, Linux for Scientific Computing 6 und die Server Produktversionen Extended Update Support (EUS) 7.4, Advanced Update Support (AUS) 7.4 und Telco Update Support (TUS) 7.4 den Firefox ESR Browser in der Version 52.4 als Sicherheitsupdate bereit. Die Schwachstelle CVE-2017-7805 in den Network Security Services (NSS) adressiert Red Hat mittels eines gesonderten Sicherheitsupdates (RHSA-2017:2832) für 'nss', welches zusätzlich auch für die Produktvarianten Linux for Scientific Computing 7 und Compute Node Extended Update Support (EUS) 7.4 bereitsteht. Oracle stellt für Oracle Linux 6 (i386, x86_64) und 7 (x86_64) den Firefox ESR Browser in der Version 52.4 als Sicherheitsupdate bereit. Für die Network Security Services (NSS) steht ebenfalls ein gesondertes Sicherheitsupdate (ELSA-2017-2832) für Oracle Linux 6 (x86_64) und 7 (x86_64) bereit, um die Schwachstelle CVE-2017-7805 zu beheben.

  1. Mozilla Foundation Security Advisory MFSA 2017-21

  2. Mozilla Foundation Security Advisory MFSA 2017-22

  3. Oracle Linux Security Advisory ELSA-2017-2831

  4. Oracle Linux Security Advisory ELSA-2017-2832

  5. Red Hat Security Advisory RHSA-2017:2831

  6. Red Hat Security Advisory RHSA-2017:2832

  7. Tor Browser 7.0.6 Release Notes

  8. Tor Browser 7.5a5 Release Notes

  9. Schwachstelle CVE-2017-7793 (NVD)

  10. Schwachstelle CVE-2017-7805 (NVD)

  11. Schwachstelle CVE-2017-7810 (NVD)

  12. Schwachstelle CVE-2017-7811 (NVD)

  13. Schwachstelle CVE-2017-7812 (NVD)

  14. Schwachstelle CVE-2017-7813 (NVD)

  15. Schwachstelle CVE-2017-7814 (NVD)

  16. Schwachstelle CVE-2017-7815 (NVD)

  17. Schwachstelle CVE-2017-7816 (NVD)

  18. Schwachstelle CVE-2017-7817 (NVD)

  19. Schwachstelle CVE-2017-7818 (NVD)

  20. Schwachstelle CVE-2017-7819 (NVD)

  21. Schwachstelle CVE-2017-7820 (NVD)

  22. Schwachstelle CVE-2017-7821 (NVD)

  23. Schwachstelle CVE-2017-7822 (NVD)

  24. Schwachstelle CVE-2017-7823 (NVD)

  25. Schwachstelle CVE-2017-7824 (NVD)

  26. Schwachstelle CVE-2017-7825 (NVD)

  27. Debian Security Advisory DSA-3987-1

  28. Fedora Security Update FEDORA-2017-2c933656a2 (Fedora 25, firefox-56.0-2.fc25)

  29. Fedora Security Update FEDORA-2017-3ede6585dc (Fedora 27, firefox-56.0-3.fc27)

  30. Fedora Security Update FEDORA-2017-730e299c49 (Fedora 26, firefox-56.0-2.fc26)

  31. Fedora Security Update FEDORA-2017-825ffaa9fc (Fedora 26, firefox-56.0-3.fc26)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.