Bundesamt für Sicherheit in der Informationstechnik

CB-K17/0399 Update 10

Risikostufe 5

Titel:Mozilla Firefox, Firefox ESR, Thunderbird, Tor Browser, Debian Icedove: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen ProgrammcodesDatum:21.04.2017Software:Debian Icedove < 45.8.0, Mozilla Firefox < 52, Mozilla Firefox ESR < 45.8, Mozilla Firefox ESR < 52, Mozilla Thunderbird < 45.8, Tor Browser < 6.5.1, Tor Browser < 7.0a2, Tor Browser < 7.0a2-hardenedPlattform:SUSE Linux Enterprise Debuginfo 11 SP3, SUSE Linux Enterprise Debuginfo 11 SP4, SUSE Linux Enterprise Software Development Kit 11 SP4, SUSE Linux Enterprise Software Development Kit 12 SP1, SUSE Linux Enterprise Software Development Kit 12 SP2, SUSE Manager 2.1, SUSE Manager Proxy 2.1, SUSE OpenStack Cloud 5, Red Hat Optional Productivity Applications 5 Server, SUSE Package Hub for SUSE Linux Enterprise 12, Apple Mac OS X, macOS Sierra, Canonical Ubuntu Linux 12.04 LTS, Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS, Canonical Ubuntu Linux 16.10, Debian Linux 8.7 Jessie, GNU/Linux, Google Android Operating System, Microsoft Windows , openSUSE Leap 42.1, openSUSE Leap 42.2, SUSE Linux Enterprise Desktop 12 SP1, SUSE Linux Enterprise Desktop 12 SP2, SUSE Linux Enterprise Server 11 SP3 LTSS, SUSE Linux Enterprise Server 11 SP4, SUSE Linux Enterprise Server 12 LTSS, SUSE Linux Enterprise Server for SAP 12, SUSE Linux Enterprise Server 12 SP1, SUSE Linux Enterprise Server 12 SP2, SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi, Oracle Linux 5, Oracle Linux 6, Oracle Linux 7, Red Hat Enterprise Linux Desktop 5, Red Hat Enterprise Linux Desktop 5 Client, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux HPC Node 6, Red Hat Enterprise Linux Server 5, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server 7.3 TUS, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7, Red Hat Fedora 24, Red Hat Fedora 25, Red Hat Fedora 26Auswirkung:Ausführen beliebigen ProgrammcodesRemoteangriff:JaRisiko:sehr hochCVE Liste:CVE-2017-5398, CVE-2017-5399, CVE-2017-5400, CVE-2017-5401, CVE-2017-5402, CVE-2017-5403, CVE-2017-5404, CVE-2017-5405, CVE-2017-5406, CVE-2017-5407, CVE-2017-5408, CVE-2017-5409, CVE-2017-5410, CVE-2017-5411, CVE-2017-5412, CVE-2017-5413, CVE-2017-5414, CVE-2017-5415, CVE-2017-5416, CVE-2017-5417, CVE-2017-5418, CVE-2017-5419, CVE-2017-5420, CVE-2017-5421, CVE-2017-5422, CVE-2017-5425, CVE-2017-5426, CVE-2017-5427Bezug: Mozilla Thunderbird Update Seite

Beschreibung

Icedove ist die Debian Version des Mozilla Thunderbird.

Firefox ist der Open-Source Webbrowser der Mozilla Foundation.

Firefox ESR (Extended Support Release) ist der Open-Source Webbrowser für Gruppen, die die Desktop-Umgebung in großen Organisationen flächendeckend installieren und warten.

Thunderbird ist der Open-Source E-Mail-Client der Mozilla Foundation.

Der Tor Browser ist eine vorkonfigurierte Kombination aus dem Browser Mozilla Firefox, Tor Launcher, und dem Tor-Client, welcher das Web-Browsen innerhalb des Proxy Server Netzwerks Tor ermöglicht.

Mehrere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, Umgehen von Sicherheitsvorkehrungen, Ausspähen von Informationen, Darstellen falscher Informationen sowie die Durchführung von Denial-of-Service (DoS)-Angriffen. Ein lokaler, nicht authentisierter Angreifer kann zudem Privilegien eskalieren und beliebige Dateien löschen. Die Schwachstellen CVE-2017-5409 und CVE-2017-5411 betreffen nur Firefox für Windows, die Schwachstelle CVE-2017-5425 nur Firefox für OS X und die Schwachstelle CVE-2017-5426 nur Firefox für Linux. Die Mozilla Foundation stellt den Browser Firefox in Version 52, das Extended Support Release Firefox ESR in Version 45.8 sowie den E-Mail-Client Mozilla Thunderbird in der Version 45.8 bereit, um die Schwachstellen zu beheben. Über die Mozilla Download Seiten steht außerdem die Version Firefox ESR 52 zur Verfügung, die im Mozilla Sicherheitshinweis für die Firefox ESR Version (Mozilla Foundation Security Advisory 2017-06) zwar nicht aufgeführt wird, aber scheinbar die gleichen Schwachstellen adressiert wie die Firefox ESR Version 45.8. Das Tor Browser Projekt veröffentlicht den auf Firefox ESR 45.8 basierenden Tor Browser 6.5.1, um die entsprechenden Schwachstellen zu beheben. Zusätzlich werden durch die neue Tor-Version weitere Schwachstellen in anderen Komponenten adressiert. Für verschiedene Red Hat Enterprise Linux 5 und 6 Produkte stehen Sicherheitsupdates für Firefox auf die ESR Version 45.8 bereit. Für die Red Hat Enterprise Linux 7 Produkte erfolgt das Sicherheitsupdate auf die Firefox ESR Version 52. Oracle stellt für Oracle Linux 5 (i386, x86_64) und Oracle Linux 6 (i386, x86_64) den Firefox ESR Browser in der Version 45.8 und für Oracle Linux 7 (x86_64) den Firefox ESR Browser in der Version 52 als Sicherheitsupdate bereit Für Fedora 24 und 25 steht die neue Version 52.0 von Firefox als Sicherheitsupdate im Status 'testing' zur Verfügung. Und für Fedora 24, 25 und 26 ist Thunderbird in der Version 45.8.0 als Sicherheitsupdate im Status 'pending' verfügbar. Canonical stellt für Ubuntu 16.10, Ubuntu 16.04 LTS, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS Firefox in der Version 52 als Sicherheitsupdate bereit.

Quellen: