Bundesamt für Sicherheit in der Informationstechnik

CB-K17/1637 Update 3

Risikostufe 5

Titel:Mozilla Firefox, Firefox ESR, NSS, Tor Browser: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen ProgrammcodesDatum:05.10.2017Software:Mozilla Firefox < 56, Mozilla Firefox ESR < 52.4, Mozilla Network Security Services < 3.28.6, Tor Browser < 7.0.6, Tor Browser < 7.5a5Plattform:Apple Mac OS X, macOS Sierra, Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS, Canonical Ubuntu Linux 17.04, Debian Linux 8.9 Jessie, Debian Linux 9.1 Stretch, GNU/Linux, Google Android Operating System, Microsoft Windows , openSUSE Leap 42.2, openSUSE Leap 42.3, Oracle Linux 6, Oracle Linux 7, Oracle VM Server 3.3, Oracle VM Server 3.4, Red Hat Enterprise Linux for Scientific Computing 6, Red Hat Enterprise Linux for Scientific Computing 7, Red Hat Enterprise Linux 7.4 EUS Compute Node, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server for ARM 7, Red Hat Enterprise Linux Server 7.4 AUS, Red Hat Enterprise Linux Server 7.4 EUS, Red Hat Enterprise Linux Server 7.4 TUS, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7, Red Hat Fedora 25, Red Hat Fedora 26, Red Hat Fedora 27Auswirkung:Ausführen beliebigen ProgrammcodesRemoteangriff:JaRisiko:sehr hochCVE Liste:CVE-2017-7793, CVE-2017-7805, CVE-2017-7810, CVE-2017-7811, CVE-2017-7812, CVE-2017-7813, CVE-2017-7814, CVE-2017-7815, CVE-2017-7816, CVE-2017-7817, CVE-2017-7818, CVE-2017-7819, CVE-2017-7820, CVE-2017-7821, CVE-2017-7822, CVE-2017-7823, CVE-2017-7824, CVE-2017-7825Bezug: Mozilla Foundation Security Advisory MFSA 2017-21

Beschreibung

Firefox ist der Open-Source Webbrowser der Mozilla Foundation.

Firefox ESR (Extended Support Release) ist der Open-Source Webbrowser für Gruppen, die die Desktop-Umgebung in großen Organisationen flächendeckend installieren und warten.

Die Mozilla Network Security Services (NSS) stellen Bibliotheken und Funktionen für eine sichere Kommunikation zwischen Client und Server für unterschiedliche Systeme zur Verfügung.

Der Tor Browser ist eine vorkonfigurierte Kombination aus dem Browser Mozilla Firefox, Tor Launcher, und dem Tor-Client, welcher das Web-Browsen innerhalb des Proxy Server Netzwerks Tor ermöglicht.

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, die Darstellung falscher Informationen sowie die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs und verschiedene Denial-of-Service (DoS)-Angriffe. Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen und beliebige lokale Dateien zu öffnen. Die Schwachstelle CVE-2017-7817 betrifft nur Firefox für Android und die Schwachstelle CVE-2017-7825 nur Firefox für Mac OS X-Betriebssysteme. Die Mozilla Foundation stellt den Browser Firefox in der Version 56 und das Extended Support Release Firefox ESR in der Version 52.4 bereit, um die Schwachstellen zu beheben. Das Tor Browser Projekt veröffentlicht zur Behebung der Schwachstellen die auf Firefox ESR 52.4 basierende stabile Version 7.0.6 des Browsers und verwendet darin nun die Tor-Version 0.3.1.7 sowie die HTTPS-Everywhere-Version 2017.9.12. Des weiteren wird die Alpha-Version 7.5a5 des Tor-Browsers zur Verfügung gestellt, welche ebenfalls auf Firefox ESR 52.4 basiert. Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Server, Desktop und Workstation sowie für Server for ARM 7, Linux for Scientific Computing 6 und die Server Produktversionen Extended Update Support (EUS) 7.4, Advanced Update Support (AUS) 7.4 und Telco Update Support (TUS) 7.4 den Firefox ESR Browser in der Version 52.4 als Sicherheitsupdate bereit. Die Schwachstelle CVE-2017-7805 in den Network Security Services (NSS) adressiert Red Hat mittels eines gesonderten Sicherheitsupdates (RHSA-2017:2832) für 'nss', welches zusätzlich auch für die Produktvarianten Linux for Scientific Computing 7 und Compute Node Extended Update Support (EUS) 7.4 bereitsteht. Oracle stellt für Oracle Linux 6 (i386, x86_64) und 7 (x86_64) den Firefox ESR Browser in der Version 52.4 als Sicherheitsupdate bereit. Für die Network Security Services (NSS) steht ebenfalls ein gesondertes Sicherheitsupdate (ELSA-2017-2832) für Oracle Linux 6 (x86_64) und 7 (x86_64) bereit, um die Schwachstelle CVE-2017-7805 zu beheben.

Quellen: