Bundesamt für Sicherheit in der Informationstechnik

CB-K17/1344 Update 1

Risikostufe 5

Titel:Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen ProgrammcodesDatum:11.08.2017Software:Mozilla Firefox < 55, Mozilla Firefox ESR < 52.3, Tor Browser < 7.0.4, Tor Browser < 7.5a4Plattform:Apple Mac OS X, macOS Sierra, Debian Linux 8.9 Jessie, Debian Linux 9.1 Stretch, GNU/Linux, Google Android Operating System, Microsoft Windows , Red Hat Enterprise Linux for Scientific Computing 6, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server for ARM 7, Red Hat Enterprise Linux Server 7.4 AUS, Red Hat Enterprise Linux Server 7.4 EUS, Red Hat Enterprise Linux Server 7.4 TUS, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7, Red Hat Fedora 25, Red Hat Fedora 26Auswirkung:Ausführen beliebigen ProgrammcodesRemoteangriff:JaRisiko:sehr hochCVE Liste:CVE-2017-7753, CVE-2017-7779, CVE-2017-7780, CVE-2017-7781, CVE-2017-7782, CVE-2017-7783, CVE-2017-7784, CVE-2017-7785, CVE-2017-7786, CVE-2017-7787, CVE-2017-7788, CVE-2017-7789, CVE-2017-7790, CVE-2017-7791, CVE-2017-7792, CVE-2017-7794, CVE-2017-7796, CVE-2017-7797, CVE-2017-7798, CVE-2017-7799, CVE-2017-7800, CVE-2017-7801, CVE-2017-7802, CVE-2017-7803, CVE-2017-7804, CVE-2017-7806, CVE-2017-7807, CVE-2017-7808, CVE-2017-7809Bezug: Mozilla Foundation Security Advisory MFSA 2017-18 (Firefox 55)

Beschreibung

Firefox ist der Open-Source Webbrowser der Mozilla Foundation.

Firefox ESR (Extended Support Release) ist der Open-Source Webbrowser für Gruppen, die die Desktop-Umgebung in großen Organisationen flächendeckend installieren und warten.

Der Tor Browser ist eine vorkonfigurierte Kombination aus dem Browser Mozilla Firefox, Tor Launcher, und dem Tor-Client, welcher das Web-Browsen innerhalb des Proxy Server Netzwerks Tor ermöglicht.

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, die Darstellung falscher Informationen sowie die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs und verschiedener Denial-of-Service (DoS)-Angriffe. Ein lokaler, nicht authentisierter Angreifer kann darüber hinaus eine Schwachstelle ausnutzen, um lokale Daten zu löschen. Die Schwachstellen CVE-2017-7790 und CVE-2017-7796 betreffen nur Firefox für Windows und die Schwachstelle CVE-2017-7794 nur Firefox für Linux. Die Mozilla Foundation stellt den Browser Firefox in der Version 55 und das Extended Support Release Firefox ESR in der Version 52.3 bereit, um die Schwachstellen zu beheben. Das Tor Browser Projekt veröffentlicht zur Behebung der Schwachstellen die auf Firefox ESR 52.3 basierende stabile Version 7.0.4 des Browsers und verwendet darin nun die Tor-Version 0.3.0.10 sowie die HTTPS-Everywhere-Version 5.2.21. Des weiteren wird die Alpha-Version 7.5a4 des Tor-Browsers zur Verfügung gestellt, welche ebenfalls auf Firefox ESR 52.3 basiert.