Bundesamt für Sicherheit in der Informationstechnik

CB-K18/0450

Risikostufe 5

Titel:Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen ProgrammcodesDatum:14.03.2018Software:Mozilla Firefox < 59, Mozilla Firefox ESR < 52.7, Tor Browser < 7.5.1Plattform:Apple macOS, GNU/Linux, Google Android Operating System, Microsoft WindowsAuswirkung:Ausführen beliebigen ProgrammcodesRemoteangriff:JaRisiko:sehr hochCVE Liste:CVE-2018-5125, CVE-2018-5126, CVE-2018-5127, CVE-2018-5128, CVE-2018-5129, CVE-2018-5130, CVE-2018-5131, CVE-2018-5132, CVE-2018-5133, CVE-2018-5134, CVE-2018-5135, CVE-2018-5136, CVE-2018-5137, CVE-2018-5138, CVE-2018-5140, CVE-2018-5141, CVE-2018-5142, CVE-2018-5143, CVE-2018-5144, CVE-2018-5145Bezug: Mozilla Foundation Security Advisory MFSA 2018-06 (Firefox 59)

Beschreibung

Firefox ist der Open-Source Webbrowser der Mozilla Foundation.

Firefox ESR (Extended Support Release) ist der Open-Source Webbrowser für Gruppen, die die Desktop-Umgebung in großen Organisationen flächendeckend installieren und warten.

Der Tor Browser ist eine vorkonfigurierte Kombination aus dem Browser Mozilla Firefox, Tor Launcher, und dem Tor-Client, welcher das Web-Browsen innerhalb des Proxy Server Netzwerks Tor ermöglicht.

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen einem zumeist entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen, die Darstellung falscher Informationen, die Durchführung von Denial-of-Service (DoS)-Angriffen und das Umgehen von Sicherheitsvorkehrungen mit Hilfe speziell präparierter Webseiten und Erweiterungen. Eine der Schwachstellen betrifft nur Firefox für Android. Der Hersteller stellt Mozilla Firefox 59 und Firefox ESR 52.7 zur Behebung der Schwachstellen bereit. Der Hersteller weist darauf hin, dass Benutzer von Windows 7 nach dem Update möglicherweise von Browser-Abstürzen betroffen sind, wenn sie bestimmte Bedienungshilfen verwenden. Für dieses Problem kann über die Release Notes des Herstellers ein Workaround gefunden werden. Auf Basis von Firefox ESR 52.7 wird zeitgleich der Tor Browser 7.5.1 zur Verfügung gestellt. Dieser wird mit Tor 0.3.2.10 und weiteren Härtungen gegen häufige Angriffe ausgeliefert.