DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-2019: Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie

Version 1 (2017-11-13 18:05)
Neues Advisory
Version 2 (2017-11-15 10:32)
Die Mozilla Foundation veröffentlicht Informationen zu den mit Mozilla Firefox 57 und Firefox ESR 52.5 geschlossenen Schwachstellen. Die Sicherheitsupdates sind ab sofort als Download verfügbar.
Version 3 (2017-11-15 12:51)
Das Tor Browser Projekt veröffentlicht zur Behebung der Schwachstellen die auf Firefox ESR 52.5 basierende stabile Version 7.0.10 des Browsers und verwendet darin nun die Tor-Version 0.3.1.8 sowie die HTTPS-Everywhere-Version 2017.10.30.
Version 4 (2017-11-16 10:06)
Für die stabile Distribution Stretch und die alte stabile Distribution Jessie stehen Sicherheitsupdates auf die Firefox ESR Version 52.5 bereit.
Version 5 (2017-11-16 17:30)
Canonical veröffentlicht Version 57.0 des Browsers Mozilla Firefox für Ubuntu Linux 14.04 LTS, 16.04 LTS, 17.04 und 17.10 zur Behebung der Schwachstellen.
Version 6 (2017-11-17 09:32)
openSUSE stellt für die Distributionen openSUSE Leap 42.2 und 42.3 Sicherheitsupdates auf die Firefox ESR Version 52.5 bereit.
Version 7 (2017-11-20 12:38)
Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Server, Desktop und Workstation sowie für Linux 7 ARM, Linux for Scientific Computing 6 und die Server Produktversionen Extended Update Support (EUS) 7.4, Advanced Update Support (AUS) 7.4 und Telco Update Support (TUS) 7.4 den Firefox ESR Browser in der Version 52.5 als Sicherheitsupdate bereit. Oracle stell für die Distributionen Oracle Linux 6 und 7 Sicherheitsupdates auf Firefox ESR Version 52.5 zur Behebung der Schwachstellen bereit.
Version 8 (2017-11-28 10:35)
Canonical veröffentlicht die Meldung Ubuntu Security Notice USN-3477-2, um darüber zu informieren, dass die mit der Meldung USN-3477-1 verteilten Sicherheitsupdates eine Regression in Form einer fehlenden Anzeige bei der Benutzung der Google-Suche eingeführt haben. Diese Regression wird mit den jetzt zur Verfügung stehenden Updates USN-3477-2 behoben.
Version 9 (2017-12-04 11:02)
In einem erneuten Sicherheitsupdate für die aktuellen Ubuntu-Versionen wird Firefox auf Version 57.0.1 aktualisiert. Das Sicherheitsupdate USN-3477-3 behandelt wiederum die durch USN-3477-1 eingeführten Regressionen und zusätzlich ein Sicherheitsproblem mit bereits vor Einführung der neuen WebExtension-Erweiterungen installierten Such-Plugins.
Version 10 (2017-12-06 09:47)
SUSE stellt für SUSE OpenStack Cloud 6 sowie die SUSE Linux Enterprise Produktvarianten Software Development Kit 12 SP2 und 12 SP3, Server for SAP 12 SP1, Server for Raspberry Pi 12 SP2, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3 sowie Desktop 12 SP2 und 12 SP3 Sicherheitsupdates für Firefox 52.5 ESR zur Behebung der Schwachstellen CVE-2017-7826, CVE-2017-7828 und CVE-2017-7830 bereit.
Version 11 (2017-12-08 10:23)
Für SUSE Linux Enterprise Software Development Kit 11 SP4, SUSE Linux Enterprise Debuginfo 11 SP3 und SP4 sowie für SUSE Linux Enterprise Server 11 SP3 LTSS und 11 SP4 steht Firefox ESR 52.5 als Sicherheitsupdate zur Behebung der entsprechenden Schwachstellen zur Verfügung.
Version 12 (2018-01-03 16:19)
Canonical stellt für Ubuntu Linux 14.04 LTS, 16.04 LTS, 17.04 und 17.10 Firefox 57.0.3 als Sicherheitsupdate zur Verfügung. Mit diesem Update wird eine mit Firefox 57 eingeführte Regression behoben, die dazu geführt hat, dass Absturzberichte für Tabs im Hintergrund ohne Einwilligung des Benutzers an Mozilla gesendet wurden. Dieses Problem betrifft alle Installationen von Mozilla Firefox, wird aber nicht von allen Distributionen als sicherheitsrelevant angesehen. Für openSUSE Leap 42.2 und 42.3 steht ein empfohlenes Update auf Firefox 57.0.3 bereit.

Betroffene Software

Mozilla Firefox < 57.0.3
Mozilla Firefox ESR < 52.5
Tor Browser < 7.0.10

Betroffene Plattformen

SUSE Linux Enterprise Debuginfo 11 SP3
SUSE Linux Enterprise Debuginfo 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Software Development Kit 12 SP2
SUSE Linux Enterprise Software Development Kit 12 SP3
SUSE OpenStack Cloud 6
Apple macOS
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 17.04
Canonical Ubuntu Linux 17.10
Debian Linux 8.9 Jessie
Debian Linux 9.2 Stretch
GNU/Linux
Microsoft Windows
openSUSE Leap 42.2
openSUSE Leap 42.3
SUSE Linux Enterprise Desktop 12 SP2
SUSE Linux Enterprise Desktop 12 SP3
SUSE Linux Enterprise Server 11 SP3 LTSS
SUSE Linux Enterprise Server 11 SP4
SUSE Linux Enterprise Server 12 LTSS
SUSE Linux Enterprise Server 12 SP1 LTSS
SUSE Linux Enterprise Server for SAP 12 SP1
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
SUSE Linux Enterprise Server 12 SP3
Oracle Linux 6
Oracle Linux 7
Red Hat Enterprise Linux for Scientific Computing 6
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server for ARM 7
Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.4
Red Hat Enterprise Linux Server 7.4 AUS
Red Hat Enterprise Linux Server 7.4 EUS
Red Hat Enterprise Linux Server 7.4 TUS
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 25
Red Hat Fedora 26
Red Hat Fedora 27

Lösung

Patch

Fedora Security Update FEDORA-2017-9a6569beb6 (Fedora 25, firefox-57.0-2.fc25)

Patch

Fedora Security Update FEDORA-2017-b410301903 (Fedora 26, firefox-57.0-2.fc26)

Patch

Fedora Security Update FEDORA-2017-e1e3fbcd3c (Fedora 27, firefox-57.0-2.fc27)

Patch

Mozilla Foundation Security Advisory MFSA 2017-24 (Firefox 57)

Patch

Mozilla Foundation Security Advisory MFSA 2017-25 (Firefox ESR 52.5)

Patch

Tor Browser 7.0.10 Release Notes

Patch

Debian Security Advisory DSA-4035-1

Patch

Ubuntu Security Notice USN-3477-1

Patch

openSUSE Security Update openSUSE-SU-2017:3027-1

Patch

Oracle Linux Security Advisory ELSA-2017-3247

Patch

Red Hat Security Advisory RHSA-2017:3247

Patch

Ubuntu Security Notice USN-3477-2

Patch

Ubuntu Security Notice USN-3477-3

Patch

SUSE Security Update SUSE-SU-2017:3213-1

Patch

SUSE Security Update SUSE-SU-2017:3233-1

Patch

Mozilla Firefox 57.0.3 Release Notes

Patch

openSUSE Recommended Update openSUSE-RU-2017:3457-1

Patch

Ubuntu Security Notice USN-3477-4

Beschreibung

Mehrere Schwachstellen in Mozilla Firefox 56 und möglicherweise früheren Versionen ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, die Darstellung falscher Informationen, das Ausspähen von Informationen und das Umgehen verschiedener Sicherheitsvorkehrungen. Eine weitere Schwachstelle ermöglicht einem lokalen, einfach authentisierten Angreifer die Eskalation seiner Privilegien und dadurch die Ausführung beliebigen Programmcodes mit den Rechten des Browsers.

Mehrere Schwachstellen, die unter zwei CVE-Bezeichnern (CVE-2017-7826, CVE-2017-7828) zusammengefasst sind, betreffen auch Mozilla Firefox ESR 52.4 und können zur Ausführung beliebigen Programmcodes ausgenutzt werden, wie auch eine Schwachstelle (CVE-2017-7830), die das Ausspähen von Informationen ermöglicht.

Die Mozilla Foundation stellt den Browser Firefox in der Version 57 und das Extended Support Release Firefox ESR in der Version 52.5 bereit, um die Schwachstellen zu beheben. Die neue Version 57 von Mozilla Firefox bringt tiefgreifende Veränderungen mit sich, die unter anderem auch die Funktionalität von Browser-Erweiterungen beeinträchtigen können. So werden veraltete auf XUL basierende Extensions nicht mehr unterstützt, sondern ausschließlich der neuere Typ 'WebExtension'. Über die mit dem 'Project Quantum' einhergehenden Änderungen wurden die Entwickler von Browser-Erweiterungen bereits vor längerer Zeit informiert. Für weitere Details sei auf den referenzierten Fedora Magazine Artikel verwiesen.

Für Fedora 25, 26 und 27 steht Firefox 57 als Sicherheitsupdate im Status 'testing' zur Verfügung.

Schwachstellen

CVE-2017-7842: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

Unter bestimmten Umständen werden zwei statt einer Anfrage für ein <link>-Element abgesetzt, wenn das Referrer-Policy-Attribut auf 'no-referrer' gesetzt ist. Eine dieser Anfragen enthält dann entgegen der Vorgabe den Referrer, wodurch ein entfernter, nicht authentisierter Angreifer Sicherheitsvorkehrungen umgehen und Informationen ausspähen kann.

CVE-2017-7840: Schwachstelle in Mozilla Firefox ermöglicht Auführung beliebigen Programmcodes

JavaScript-Programmcode kann in eine Lesezeichendatei injiziert werden, da dort beim Export bestimmte Tags nicht bereinigt werden. Ein entfernter, nicht authentisierter Angreifer, der einen Benutzer der Software zum Aufruf einer solchen Datei im Browser verleitet, kann dadurch beliebigen Script-Programmcode zur Ausführung bringen.

CVE-2017-7839: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

Kontrollzeichen, die 'javascript:'-URLs vorangestellt und mit in die Adressleiste kopiert werden, können dazu verwendet werden, den Schutz vor Selbst-Cross-Site-Scripting zu umgehen. Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, indem er einen Benutzer der Software dazu verleitet, eine speziell präparierte URL in die Adressleiste zu kopieren und aufzurufen. Dadurch kann beliebiger JavaScript-Programmcode zur Ausführung gebracht werden.

CVE-2017-7838: Schwachstelle in Mozilla Firefox ermöglicht Darstellung falscher Informationen

Wenn die Subdomain einer Webseite die Punycode-Darstellung in der Browserleiste auslöst, wird diese Formatierung unter Umständen auch für die Domain selbst übernommen. Ein entfernter, nicht authentisierter Angreifer kann dadurch falsche Informationen darstellen.

CVE-2017-7837: Schwachstelle in Mozilla Firefox ermöglicht Manipulation von Dateien

Über speziell präparierte '<meta>'-Tags in SVG-Bilddateien, die in '<img>'-HTML-Tags geladen werden, kann ein entfernter, nicht authentisierter Angreifer den Inhalt von Cookies für die jeweilige Webseite verändern.

CVE-2017-7836: Schwachstelle in Mozilla Firefox ermöglicht Privilegieneskalation

Ping Sender wird von Mozilla Firefox im Firefox Health Report eingesetzt, um einen Telemetrie-Ping abzusetzen. Die Software lädt dynamisch eine Kopie der im System verwendeten libcurl, die ein lokaler, einfach authentisierter Angreifer vorher durch eine eigene Bibliothek ersetzen kann. Der Angreifer kann dadurch beliebigen Programmcode mit den Rechten von Firefox zur Ausführung bringen.

CVE-2017-7835: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

Unsichere Unterressourcen eines sicheren Dokuments werden bei einer Weiterleitung von HTTPS zu HTTP nicht ausreichend geblockt. Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe einer speziell präparierten Webseite Sicherheitsvorkehrungen umgehen und dadurch möglicherweise beliebigen Skript-Programmcode nachladen.

CVE-2017-7834: Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

Wenn 'data:'-URLs in einem neuen Tab geladen werden, erben sie nicht die Content Security Policy (CSP) der ursprünglichen Seite. Ein entfernter, nicht authentisierter Angreifer kann diese Sicherheitsvorkehrungen umgehen und in der Folge beliebigen JavaScript-Programmcode zur Ausführung bringen oder einen Cross-Site-Scripting-Angriff durchführen.

CVE-2017-7833: Schwachstelle in Mozilla Firefox ermöglicht Darstellung falscher Informationen

Einige Zeichen, mit denen arabische und indische Vokale markiert werden, können in der Adressleiste des Browsers von lateinischen Zeichen verdeckt werden. Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe entsprechend präparierter Webseiten und Domainbezeichner falsche Informationen darstellen.

CVE-2017-7832: Schwachstelle in Mozilla Firefox ermöglicht Darstellung falscher Informationen

Das Zeichen für den Kleinbuchstaben 'i' ohne den I-Punkt kann zusammen mit Unicode-Zeichen für Gravis- oder Akut-Akzent verwendet werden, um den Kleinbuchstaben 'i' in der Adressleiste vorzutäuschen. Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe entsprechend präparierter Webseiten und Domainbezeichner falsche Informationen darstellen.

CVE-2017-7831: Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

Über den nicht mehr unterstützten Mechanismus 'exposedProps' für Proxy-Objekte lassen sich diesen Objekten Eigenschaften zuweisen, die sie nicht haben sollten. Der Security Wrapper unterbindet den Zugriff auf diese Eigenschaften (Exposed Properties) nicht ausreichend. Ein entfernter, nicht authentisierter Angreifer kann dadurch Informationen ausspähen.

CVE-2017-7830: Schwachstelle in Mozilla Firefox, Thunderbird und Seamonkey ermöglicht Ausspähen von Informationen

Die Ressource Timing API von Mozilla Firefox gibt in iframes über Quellgrenzen hinweg Navigationsinformationen preis (Cross-Origin Information Leak). Ein entfernter, nicht authentisierter Angreifer kann dadurch Informationen über das Surfverhalten von Benutzern ausspähen.

CVE-2017-7828: Schwachstelle in Mozilla Firefox, Thunderbird und Seamonkey ermöglicht Ausführung beliebigen Programmcodes

Unter bestimmten Umständen wird das 'PressShell'-Objekt freigegeben, während es noch verwendet wird. Die Schwachstelle kann von einem entfernten, nicht authentisierten Angreifer mit Hilfe einer speziell präparierten Webseite ausgenutzt werden, wenn die Layout-Datenstruktur geleert und das Layout in der Größe verändert wird, um einen ausnutzbaren Absturz des Browsers zu erzeugen, über den sich beliebiger Programmcode ausführen lässt (Use-after-Free).

CVE-2017-7827: Schwachstellen in Mozilla Firefox ermöglichen Ausführung beliebigen Programmcodes

Mehrere Schwachstellen in Mozilla Firefox 56 können wahrscheinlich mit geringem Aufwand zur Korruption von Speicher ausgenutzt werden. Ein entfernter, nicht authentisierter Angreifer kann dadurch beliebigen Programmcode zur Ausführung bringen.

CVE-2017-7826: Schwachstellen in Mozilla Firefox, Firefox ESR, Thunderbird und Seamonkey ermöglichen Ausführung beliebigen Programmcodes

Mehrere Schwachstellen in Mozilla Firefox 56, Firefox ESR 52.4, Thunderbird 52.4 sowie Seamonkey 2.49.1 können wahrscheinlich mit geringem Aufwand zur Korruption von Speicher ausgenutzt werden. Ein entfernter, nicht authentisierter Angreifer kann dadurch beliebigen Programmcode zur Ausführung bringen.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.