Bundesamt für Sicherheit in der Informationstechnik

CB-K17/2100 Update 5

Risikostufe 5

Titel:Mozilla Firefox, Firefox ESR: Zwei Schwachstellen ermöglichen u.a. das Umgehen von SicherheitsvorkehrungenDatum:13.12.2017Software:Mozilla Firefox < 57.0.2, Mozilla Firefox ESR < 52.5.2Plattform:Apple macOS, Debian Linux 8.10 Jessie, Debian Linux 9.3 Stretch, GNU/Linux, Microsoft Windows , openSUSE Leap 42.2, openSUSE Leap 42.3, Oracle Linux 6, Oracle Linux 7, Red Hat Enterprise Linux for Scientific Computing 6, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server for ARM 7, Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.4, Red Hat Enterprise Linux Server 7.4 AUS, Red Hat Enterprise Linux Server 7.4 EUS, Red Hat Enterprise Linux Server 7.4 TUS, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7, Red Hat Fedora 25, Red Hat Fedora 26, Red Hat Fedora 27Auswirkung:Umgehen von SicherheitsvorkehrungenRemoteangriff:JaRisiko:sehr hochCVE Liste:CVE-2017-7843, CVE-2017-7844, CVE-2017-7845Bezug: Fedora Security Update FEDORA-2017-bfd2d4afce (Fedora 27, firefox-57.0.1-1.fc27)

Beschreibung

Firefox ist der Open-Source Webbrowser der Mozilla Foundation.

Firefox ESR (Extended Support Release) ist der Open-Source Webbrowser für Gruppen, die die Desktop-Umgebung in großen Organisationen flächendeckend installieren und warten.

Eine Schwachstelle in Mozilla Firefox ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen. Eine weitere Schwachstelle, die allerdings nur in der Firefox Version 57 existiert, ermöglicht einem solchen Angreifer zusätzlich das Ausspähen von Informationen. Der Hersteller behebt die beiden Schwachstellen mit der außerhalb der üblichen Release-Zyklen veröffentlichten Firefox Version 57.0.1 und stuft das Sicherheitsupdate als kritisch ein, obwohl die Kritikalität der einzelnen behobenen Schwachstellen 'nur' jeweils mit 'high' bewertet wird. Für die Distributionen Fedora 25, 26 und 27 stehen Sicherheitsupdates auf diese Firefox Version im Status 'testing' zur Verfügung.