DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-1710: Mozilla Firefox, Firefox ESR, NSS, Tor Browser: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie

Version 1 (2017-09-29 12:04)
Neues Advisory
Version 2 (2017-10-02 09:46)
Für Fedora 25 und 26 stehen Sicherheitsupdates auf den Firefox Browser Version 56 in Form der Pakete 'firefox-56.0-2.fc25' und 'firefox-56.0-2.fc26' im Status 'testing' zur Verfügung. Für Fedora 26 und 27 stehen die Sicherheitsupdates 'firefox-56.0-3.fc26' und 'firefox-56.0-3.fc27' im Status 'pending' bereit. Debian veröffentlicht für die stabile Distribution Stretch sowie die vormals stabile Distribution Jessie den Firefox ESR Browser in der Version 52.4 als Sicherheitsupdate.
Version 3 (2017-10-04 10:29)
Canonical stellt Sicherheitsupdates für Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 17.04 auf die Firefox Version 56 bereit. Über eine weitere Meldung (USN-3431-1) wird ein gesondertes Sicherheitsupdate für die Network Security Service (NSS) Bibliothek für eben jene Distributionen veröffentlicht, um die Denial-of-Service-Schwachstelle CVE-2017-7805 zu beheben. Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates auf die Mozilla Firefox 52.4 ESR Version und die NSS Version 3.28.6 zur Verfügung. Und für Oracle VM 3.3 und Oracle VM 3.4 wird die Schwachstelle in der NSS Bibliothek über Backport-Sicherheitsupdates adressiert.
Version 4 (2017-10-05 09:59)
Canonical informiert mittels der Ubuntu Security Notice USN-3435-2 darüber, dass das Sicherheitsupdate für den Firefox Browser (USN-3435-1) eine Regression eingeführt hat, die in einigen Fällen dazu führen kann, dass das Flash Plugin abstützt. Canonical behebt die Regression mit den aktualisierten Paketen.
Version 5 (2017-10-10 15:56)
Für SUSE OpenStack Cloud 6, die SUSE Linux Enterprise Produkte Software Development Kit und Desktop jeweils in den Versionen 12 SP2 und 12 SP3, SUSE Linux Enterprise Server 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3, Server for SAP 12 SP1, Server for Raspberry Pi 12 SP2 sowie SUSE Container as a Service Platform ALL stehen Sicherheitsupdates für Mozilla Firefox auf die Version ESR 52.4 bereit.
Version 6 (2017-10-12 12:50)
Debian veröffentlicht für die Distributionen Jessie (old stable), Stretch (stable und mittlerweile Version 9.2) sowie Buster (testing) Sicherheitsupdates für NSS, um die Schwachstelle CVE-2017-7805 zu beheben.
Version 7 (2017-10-30 10:08)
Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, Server 11 SP4 und 11 SP3 LTSS sowie Debuginfo 11 SP4 und 11 SP3 stehen Sicherheitsupdates auf die Firefox ESR Version 52.4 und für Mozilla NSS bereit.
Version 8 (2017-11-14 10:10)
Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4 sowie Server 11 SP4 und 11 SP3 LTSS stehen neue Sicherheitsupdates auf die Firefox ESR Version 52.4 und für Mozilla NSS bereit.

Betroffene Software

Mozilla Firefox < 56
Mozilla Firefox ESR < 52.4
Mozilla Network Security Services < 3.28.6
Tor Browser < 7.0.6
Tor Browser < 7.5a5

Betroffene Plattformen

SUSE Container-as-a-Service-(CaaS)-Plattform ALL
SUSE Linux Enterprise Debuginfo 11 SP3
SUSE Linux Enterprise Debuginfo 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Software Development Kit 12 SP2
SUSE Linux Enterprise Software Development Kit 12 SP3
SUSE OpenStack Cloud 6
Apple Mac OS X
macOS Sierra
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 17.04
Debian Linux 8.9 Jessie
Debian Linux 9.1 Stretch
Debian Linux 9.2 Stretch
Debian Linux 10.0 Buster
GNU/Linux
Google Android Operating System
Microsoft Windows
openSUSE Leap 42.2
openSUSE Leap 42.3
SUSE Linux Enterprise Desktop 12 SP2
SUSE Linux Enterprise Desktop 12 SP3
SUSE Linux Enterprise Server 11 SP3 LTSS
SUSE Linux Enterprise Server 11 SP4
SUSE Linux Enterprise Server 12 LTSS
SUSE Linux Enterprise Server 12 SP1 LTSS
SUSE Linux Enterprise Server for SAP 12 SP1
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
SUSE Linux Enterprise Server 12 SP3
Oracle Linux 6
Oracle Linux 7
Oracle VM Server 3.3
Oracle VM Server 3.4
Red Hat Enterprise Linux for Scientific Computing 6
Red Hat Enterprise Linux for Scientific Computing 7
Red Hat Enterprise Linux 7.4 EUS Compute Node
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server for ARM 7
Red Hat Enterprise Linux Server 7.4 AUS
Red Hat Enterprise Linux Server 7.4 EUS
Red Hat Enterprise Linux Server 7.4 TUS
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 25
Red Hat Fedora 26
Red Hat Fedora 27

Lösung

Patch

Mozilla Foundation Security Advisory MFSA 2017-21

Patch

Mozilla Foundation Security Advisory MFSA 2017-22

Patch

Oracle Linux Security Advisory ELSA-2017-2831

Patch

Oracle Linux Security Advisory ELSA-2017-2832

Patch

Red Hat Security Advisory RHSA-2017:2831

Patch

Red Hat Security Advisory RHSA-2017:2832

Patch

Tor Browser 7.0.6 Release Notes

Patch

Tor Browser 7.5a5 Release Notes

Patch

Debian Security Advisory DSA-3987-1

Patch

Fedora Security Update FEDORA-2017-2c933656a2 (Fedora 25, firefox-56.0-2.fc25)

Patch

Fedora Security Update FEDORA-2017-3ede6585dc (Fedora 27, firefox-56.0-3.fc27)

Patch

Fedora Security Update FEDORA-2017-730e299c49 (Fedora 26, firefox-56.0-2.fc26)

Patch

Fedora Security Update FEDORA-2017-825ffaa9fc (Fedora 26, firefox-56.0-3.fc26)

Patch

Oracle VM Security Advisory OVMSA-2017-0154 (Oracle VM 3.4)

Patch

Oracle VM Security Advisory OVMSA-2017-0156 (Oracle VM 3.3)

Patch

Ubuntu Security Notice USN-3431-1

Patch

Ubuntu Security NoticeUSN-3435-1

Patch

openSUSE Security Update openSUSE-SU-2017:2615-1

Patch

Ubuntu Security Notice USN-3435-2

Patch

SUSE Security Update SUSE-SU-2017:2688-1

Patch

Debian Security Advisory DSA-3998-1

Patch

SUSE Security Update SUSE-SU-2017:2872-1

Patch

SUSE Security Update SUSE-SU-2017:2872-2

Beschreibung

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, die Darstellung falscher Informationen sowie die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs und verschiedene Denial-of-Service (DoS)-Angriffe. Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen und beliebige lokale Dateien zu öffnen. Die Schwachstelle CVE-2017-7817 betrifft nur Firefox für Android und die Schwachstelle CVE-2017-7825 nur Firefox für Mac OS X-Betriebssysteme.

Die Mozilla Foundation stellt den Browser Firefox in der Version 56 und das Extended Support Release Firefox ESR in der Version 52.4 bereit, um die Schwachstellen zu beheben.

Das Tor Browser Projekt veröffentlicht zur Behebung der Schwachstellen die auf Firefox ESR 52.4 basierende stabile Version 7.0.6 des Browsers und verwendet darin nun die Tor-Version 0.3.1.7 sowie die HTTPS-Everywhere-Version 2017.9.12. Des weiteren wird die Alpha-Version 7.5a5 des Tor-Browsers zur Verfügung gestellt, welche ebenfalls auf Firefox ESR 52.4 basiert.

Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Server, Desktop und Workstation sowie für Server for ARM 7, Linux for Scientific Computing 6 und die Server Produktversionen Extended Update Support (EUS) 7.4, Advanced Update Support (AUS) 7.4 und Telco Update Support (TUS) 7.4 den Firefox ESR Browser in der Version 52.4 als Sicherheitsupdate bereit. Die Schwachstelle CVE-2017-7805 in den Network Security Services (NSS) adressiert Red Hat mittels eines gesonderten Sicherheitsupdates (RHSA-2017:2832) für 'nss', welches zusätzlich auch für die Produktvarianten Linux for Scientific Computing 7 und Compute Node Extended Update Support (EUS) 7.4 bereitsteht.

Oracle stellt für Oracle Linux 6 (i386, x86_64) und 7 (x86_64) den Firefox ESR Browser in der Version 52.4 als Sicherheitsupdate bereit. Für die Network Security Services (NSS) steht ebenfalls ein gesondertes Sicherheitsupdate (ELSA-2017-2832) für Oracle Linux 6 (x86_64) und 7 (x86_64) bereit, um die Schwachstelle CVE-2017-7805 zu beheben.

Schwachstellen

CVE-2017-7825: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

In Mozilla Firefox und Firefox ESR besteht eine Schwachstelle, weil einige in Apple OS X-Betriebssystemen verwendete Schriftarten tibetanische und arabische Zeichen als Leerzeichen darstellen. Werden diese in der Adresszeile als Teil eines IDN (internationalisierten Domainnamen) verwendet, können gefälschte Domänennamen dargestellt werden. Ein entfernter, nicht authentisierter Angreifer kann falsche Informationen darstellen.

CVE-2017-7824: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

In Mozilla Firefox und Firefox ESR existiert eine Schwachstelle, durch einen Pufferspeicherüberlauf beim Zeichnen und Validieren von Elementen mit der ANGLE-Grafikbibliothek für WebGL-Inhalte, weil bestimmte Werte innerhalb der Bibliothek nicht ausreichend überprüft werden. Ein entfernter, nicht authentisierter Angreifer kann dies ausnutzen und einen Absturz der Anwendung provozieren (Denial-of-Service, DoS), der sich möglicherweise für weitere Angriffe ausnutzen lässt (exploitable Crash).

CVE-2017-7823: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Cross-Site-Scripting-Angriff

In Mozilla Firefox und Firefox ESR besteht eine Schwachstelle, weil die Content Security Policy (CSP)-'Sandbox'-Direktive keine eindeutige Herkunft für Dokumente erstellt. Diese verhält sich dadurch immer so, als sei das Schlüsselwort 'allow-same-origin' spezifiziert. Ein entfernter, nicht authentisierter Angreifer kann einen Cross-Site-Scripting (XSS)-Angriff durchführen.

CVE-2017-7822: Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

In Mozilla Firefox existiert eine Schwachstelle in der AES/GCM (Galois/Counter Mode)-Implementierung in der WebCrypto API, weil diese einen leeren Initialisierungsvektor (0-length IV) akzeptiert, obwohl nach der Spezifikation 'NIST Special Publication 800-38D' die Länge '1' vorgeschrieben ist. In einigen Fällen kann dadurch der Authentifizierungsschlüssel bestimmt werden. Ein entfernter, nicht authentisierter Angreifer kann durch das Ausnutzen der Schwachstelle Informationen ausspähen.

CVE-2017-7821: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

In Mozilla Firefox besteht eine Schwachstelle, wodurch eine Web-Erweiterung (WebExtensions) nicht ausführbare Dateien herunterladen und öffnen kann, ohne dass eine Benutzerinteraktion notwendig ist. Ein entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen und Dateien unerlaubt herunterladen und öffnen. Dadurch ist es dem Angreifer möglich bekannte Schwachstellen in den Programmen auszunutzen, mit denen die Dateien geöffnet werden.

CVE-2017-7820: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

In Mozilla Firefox existiert eine Schwachstelle, weil der 'instanceof'-Operator den 'Xray wrapper'-Mechanismus umgehen kann. Wird dieser von Webinhalten durch den Browser oder eine Erweiterung aufgerufen, können die Webinhalte dem Operator ein eigenes Ergebnis bereitstellen und den Browser dazu verleiten ein Element fehlerhaft zu behandeln. Ein entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen.

CVE-2017-7819: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

In Mozilla Firefox und Firefox ESR existiert eine Use-after-free-Schwachstelle im Design Mode, wenn für Bildobjekte Größenanpassungen vorgenommen werden. Ein entfernter, nicht authentisierter Angreifer kann dies ausnutzen und einen Absturz der Anwendung provozieren (Denial-of-Service, DoS), der sich möglicherweise für weitere Angriffe ausnutzen lässt (exploitable Crash).

CVE-2017-7818: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

In Mozilla Firefox und Firefox ESR existiert eine Use-after-free-Schwachstelle, wenn über das DOM (Document Object Model) Arrays mit Accessible Rich Internet Applications (ARIA)-Elementen innerhalb von Containern manipuliert werden. Ein entfernter, nicht authentisierter Angreifer kann dies ausnutzen und einen Absturz der Anwendung provozieren (Denial-of-Service, DoS), der sich möglicherweise für weitere Angriffe ausnutzen lässt (exploitable Crash).

CVE-2017-7817: Schwachstelle in Firefox for Android ermöglicht Darstellen falscher Informationen

In Mozilla Firefox for Android existiert eine Schwachstelle, wenn eine Seite in den Vollbildmodus wechselt ohne den Benutzer darüber zu informieren. Dies ermöglicht es einem Angreifer eine gefälschte Adresszeile darzustellen (Spoofing), wodurch zu der dargestellten Webseite eine falsche Adresse vorgetäuscht werden kann, die den Benutzer zu Aktionen im Kontext dieser Webseite verleiten soll. Ein entfernter, nicht authentisierter Angreifer kann falsche Informationen darstellen.

CVE-2017-7816: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

In Mozilla Firefox besteht eine Schwachstelle, die es einer Web-Erweiterung (WebExtensions) ermöglicht über die eigene Benutzeroberfläche Popup-Fenster und Panels dazu zu verwenden privilegierte 'about:'-URL's aufzurufen, womit Sicherheitsvorkehrungen, die dieses Verhalten verbieten, umgangen werden. Ein entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen.

CVE-2017-7815: Schwachstelle in Mozilla Firefox ermöglicht Darstellen falscher Informationen

In Mozilla Firefox besteht eine Schwachstelle, wenn die Option 'e10s Multiprocess' deaktiviert ist, wodurch auf Webseiten mit eingebettetem iFrame das 'data:'-Protokoll ausgenutzt werden kann, um über JavaScript einen modalen Dialog mit beliebigem Domänennamen darzustellen. Ein entfernter, nicht authentisierter Angreifer kann falsche Informationen in einem modalen Dialog darstellen.

CVE-2017-7814: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

Werden Downloads in Mozilla Firefox und Firefox ESR mit 'blob:'- und 'data:'-URL-Elementen kodiert, werden die gewöhnlichen Prüfungen für Datei-Downloads sowie die Block-Liste für bösartige Webseiten und Dateien des 'Phishing and Malware Protection'-Features umgangen. Ein Angreifer kann dies ausnutzen und einen Benutzer dazu verleiten Dateien herunterzuladen, welche ansonsten als verdächtig erkannt werden würden. Ein entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen.

CVE-2017-7813: Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff und Ausspähen von Informationen

Im JavaScript-Parser in Mozilla Firefox besteht eine Schwachstelle, weil das Umwandeln (Cast) einer Variablen vom Typ 'Integer' in einen kleineren Datentyp (narrower Type) dazu führen kann, dass der JavaScript-Parser Daten außerhalb des Pufferspeichers verarbeitet. Ein entfernter, nicht authentisierter Angreifer kann dies ausnutzen und die Anwendung abstürzen lassen (Denial-of-Service) oder geringe Mengen an Informationen ausspähen, wenn die JavaScript-Identifier-Syntax dabei zutrifft.

CVE-2017-7812: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

In Mozilla Firefox besteht eine Schwachstelle, wenn Webinhalte auf einer Seite auf Teile der Browser-Benutzeroberfläche (UI) gezogen werden, beispielsweise auf die Tab-Leiste, da dadurch Links geöffnet werden können, die sonst nicht geöffnet werden dürfen. Ein lokaler, nicht authentisierter Angreifer kann dies über bösartig präparierte Webinhalte ausnutzen und über 'file:'-URL's auf lokale Dateien zugreifen.

CVE-2017-7811: Schwachstellen in Mozilla Firefox ermöglichen Ausführung beliebigen Programmcodes

Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla Firefox, die zu Speicherfehlern führen können (Memory Safety Bugs). Dazu können beispielsweise Pufferüberläufe, Fehler bei der dynamischen Speicherverwaltung, nicht initialisierte Variablen und die Erschöpfung von Speicher gehören. Der Hersteller geht davon aus, dass einige der Schwachstellen von einem entfernten, nicht authentifizierten Angreifer für die Ausführung beliebigen Programmcodes ausgenutzt werden können.

CVE-2017-7810: Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen Programmcodes

Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla Firefox und Firefox ESR, die zu Speicherfehlern führen können (Memory Safety Bugs). Dazu können beispielsweise Pufferüberläufe, Fehler bei der dynamischen Speicherverwaltung, nicht initialisierte Variablen und die Erschöpfung von Speicher gehören. Der Hersteller geht davon aus, dass einige der Schwachstellen von einem entfernten, nicht authentifizierten Angreifer für die Ausführung beliebigen Programmcodes ausgenutzt werden können.

CVE-2017-7805: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

In Mozilla Firefox und Firefox ESR existiert eine Use-after-free-Schwachstelle, die während des TLS 1.2 Handshakes auftreten kann. Dabei erstellte Handshake-Hashes referenzieren mit einem Zeiger Speicherbereiche in einem Nachrichtenpuffer, dessen Daten für spätere Nachrichten verwendet werden. In einigen Fällen kann dieser Speicher durch das Handshake-Protokoll aufgebraucht werden, wodurch ein neuer Pufferspeicher alloziert und der alte freigegeben wird, obwohl die Zeiger der Hashes noch auf den alten Pufferspeicher zeigen. Ein entfernter, nicht authentisierter Angreifer kann dies ausnutzen und einen Absturz der Anwendung provozieren (Denial-of-Service, DoS), der sich möglicherweise für weitere Angriffe ausnutzen lässt (exploitable Crash).

CVE-2017-7793: Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

In Mozilla Firefox und Firefox ESR existiert eine Use-after-free-Schwachstelle in der Fetch API, wodurch ein Worker oder das damit verbundene Fenster freigegeben werden können, obwohl diese noch verwendet werden. Ein entfernter, nicht authentisierter Angreifer kann dies ausnutzen und einen Absturz der Anwendung provozieren (Denial-of-Service, DoS), der sich möglicherweise für weitere Angriffe ausnutzen lässt (exploitable Crash).

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.