[Sec-cert] UPDATE: DFN-CERT-2014-0148 Mozilla-Anwendungen: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit Benutzerrechten [Linux][SuSE][Windows]

portal at dfn-cert.de portal at dfn-cert.de
Do Feb 20 13:35:03 CET 2014


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 5 (20.02.2014):
    Es stehen nun fehlerbereinigte Pakete für zwei weitere SUSE Versionen,
    SUSE Linux Enterprise Server 11 LTSS SP1 und SP2, zur Verfügung.
    Ubuntu stellt für die Distributionen 12.04 LTS, 12.10 und 13.10 neue
    Pakete bereit, da der erste Anlauf zur Behebung der Schwachstellen nicht
    zufriedenstellend war.
  Version 4 (19.02.2014):
    Es stehen nun fehlerbereinigte Pakete zur Verfügung für SUSE Linux
    Enterprise Software Development Kit 11 SP3, SUSE Linux Enterprise Server
    11 SP3 for VMware, SUSE Linux Enterprise Server 11 SP3 und SUSE Linux
    Enterprise Desktop 11 SP3
  Version 3 (11.02.2014):
    Ubuntu hat Sicherheitsupdates für 13.10, 12.10 und 12.04 LTS
    bereitgestellt.
  Version 2 (10.02.2014):
    openSUSE hat Sicherheitsupdates für 12.3 und 13.1 bereitgestellt.
  Version 1 (07.02.2014):
    Neues Advisory

Betroffene Software:

  Mozilla Firefox <= 26.0
  Mozilla Firefox ESR <= 24.2
  Mozilla Network Security Services <= 3.15.3
  Mozilla SeaMonkey <= 2.23
  Mozilla Thunderbird <= 24.2
  

Betroffene Plattformen:

  Novell SUSE Software Development Kit  11 SP3 Enterprise
  Apple Mac OS X
  Canonical Ubuntu Linux 12.04 Lts
  Canonical Ubuntu Linux 12.10
  Canonical Ubuntu Linux 13.10
  GNU/Linux GNU/Linux
  Google Android Operating System
  Microsoft Windows 
  openSUSE 12.3
  openSUSE 13.1
  Novell SUSE Linux Enterprise Desktop 11 SP3
  Novell SUSE Linux Enterprise Server 11 SP1 LTSS
  Novell SUSE Linux Enterprise Server 11 SP2 LTSS
  Novell SUSE Linux Enterprise Server 11 SP3
  Novell SUSE Linux Enterprise Server 11 SP3 VMware
  


In allen Anwendungen sind mehrere Schwachstellen enthalten. Auch wenn
Firefox ESR 24.3 und Thunderbird 24.3 sowie deren Vorgängerversionen nicht
alle Schwachstellen aufweisen, ist ein Update der Anwendungen trotzdem in
jedem Fall angeraten. Bei allen Anwendungen kann ein entfernter, nicht
authentifizierter Angreifer durch das Ausnutzen verschiedener Schwachstellen
Sicherheitsbeschränkungen umgehen und Zugriff auf sensitive Information
erhalten, Denial-of-Service-Angriffe durchführen oder beliebige Befehle mit
den Rechten des Benutzers ausführen.  


Patch:

  Mozilla Foundation Security Advisory MFSA-2014-10

  <http://www.mozilla.org/security/announce/2014/mfsa2014-10.html>

Patch:

  Mozilla Foundation Security Advisory MFSA-2014-05

  <http://www.mozilla.org/security/announce/2014/mfsa2014-05.html>

Patch:

  Mozilla Foundation Security Advisory MFSA-2014-12

  <http://www.mozilla.org/security/announce/2014/mfsa2014-12.html>

Patch:

  Mozilla Foundation Security Advisory MFSA-2014-13

  <http://www.mozilla.org/security/announce/2014/mfsa2014-13.html>

Patch:

  Mozilla Foundation Security Advisory MFSA-2014-04

  <http://www.mozilla.org/security/announce/2014/mfsa2014-04.html>

Patch:

  Mozilla Foundation Security Advisory MFSA-2014-09

  <http://www.mozilla.org/security/announce/2014/mfsa2014-09.html>

Patch:

  Mozilla Foundation Security Advisory MFSA-2014-06

  <http://www.mozilla.org/security/announce/2014/mfsa2014-06.html>

Patch:

  Mozilla Foundation Security Advisory MFSA-2014-01

  <http://www.mozilla.org/security/announce/2014/mfsa2014-01.html>

Patch:

  Mozilla Foundation Security Advisory MFSA-2014-03

  <http://www.mozilla.org/security/announce/2014/mfsa2014-03.html>

Patch:

  Mozilla Foundation Security Advisory MFSA-2014-02

  <http://www.mozilla.org/security/announce/2014/mfsa2014-02.html>

Patch:

  Mozilla Foundation Security Advisory MFSA-2014-07

  <http://www.mozilla.org/security/announce/2014/mfsa2014-07.html>

Patch:

  openSUSE Security Update openSUSE-SU-2014:0212-1

  <http://lists.opensuse.org/opensuse-updates/2014-02/msg00027.html>

Patch:

  Ubuntu Security Notice USN-2102-1

  <http://www.ubuntu.com/usn/usn-2102-1/>

Patch:

  openSUSE Security Announcement SUSE-SU-2014:0248-1

  <http://lists.opensuse.org/opensuse-security-announce/2014-02/msg00010.html>

Patch:

  SUSE Security Update SUSE-SU-2014:0248-2

  <https://www.suse.com/support/update/announcement/2014/suse-su-20140248-2.html>

Patch:

  Ubuntu Security Notice USN-2102-2

  <http://www.ubuntu.com/usn/usn-2102-2>


CVE-2014-1491: Schwachstelle in Mozilla Network Security Services (NSS)

  Die Mozilla Network Security Services (NSS) verwenden beim
  Diffie-Hellman-Schlüsselaustausch nicht zugelassene Zahlen für den
  öffentlichen DH-Wert. Dies macht es einem entfernten Angreifer einfacher,
  die Schutzmechanismen beim Ticket-Handling zu umgehen, indem er selbst
  gezielt Werte aussucht, die den kryptographischen Aufwand senken.


CVE-2014-1490: 'Race Condition' in der libssl

  Eine 'Race Condition' in der libssl führt dazu, dass ein Session-Ticket
  durch ein anderes Ticket aus dem Session-Cache ersetzt wird, bevor der
  Handshake beendet ist. Ein entfernter, nicht authentifizierter Angreifer
  kann durch Ausnutzen der Schwachstelle einen Denial-of-Service-Angriff
  durchführen oder durch das Ersetzen eines Session-Tickets evtl. weitere
  Zugriffe erhalten.


CVE-2014-1489: Schwachstelle in Mozilla Firefox erlaubt Denial-of-Service

  Der skriptbasierte Zugriff auf die 'about:home'-Schaltflächen durch andere
  Web-Seiten wird nicht korrekt eingeschränkt. Ein entfernter, nicht
  authentisierter Angreifer kann, wenn es ihm gelingt, einen Benutzer auf eine
  manipulierte Web-Seite zu locken, diese Schwachstelle ausnutzen und die
  Wiederherstellung der Sitzung des Benutzers initiieren. Hierdurch kommt es
  zu Denial-of-Service-Zuständen.


CVE-2014-1488: Schwachstelle bei der Behandlung von asm.js Anweisungen

  Eine Schwachstelle in der Behandlung von asm.js Anweisungen beim
  Weiterreichen von Objekten zwischen verschiedenen Threads führt zu einer
  Ausführung beliebiger Anweisungen. Ein entfernter, nicht authentifizierter
  Angreifer kann durch Ausnutzen der Schwachstelle beliebige Befehle mit
  Rechten des Benutzers ausführen.


CVE-2014-1485: Schwachstelle in der Mozilla Browser Engine

  Die Schwachstelle in der 'Content Security Policy (CSP)' Implementierung
  entsteht durch die Verwendung von 'style-src'-Direktiven bei der
  Verarbeitung von XSLT-Stylesheets anstatt von 'script-src'-Direktiven. Ein
  entfernter, nicht authentifizierter Angreifer kann durch manipulierten
  XSLT-Code beliebige Befehle im Kontext des Benutzers ausführen.


CVE-2014-1484: Schwachstelle in Mozilla Firefox auf Android

  Mozilla Firefox auf Android-Systemen erzeugt System-Log-Einträge, welche
  auch Profilpfade enthalten. Diese Schwachstelle kann von einem entfernten,
  nicht authentifizierten Angreifer ausgenutzt werden, um mittels anderer
  Applikationen Zugriff auf sensible Informationen zu erlangen.


CVE-2014-1483: Schwachstelle in der Mozilla Browser Engine

  Eine Schwachstelle in der Browser Engine im Zusammenhang mit 'iframes' und
  den Funktionen document.caretPositionFromPoint und document.elementFromPoint
  führt dazu, dass die Same-Origin-Richtlinie nicht korrekt eingehalten wird.
  Ein entfernter, nicht authentifizierter Angreifer kann durch einen zeitlich
  koordinierten Cross-Origin-iframe-Angriff Informationen über das DOM
  (Document Object Model) des Iframes sowie andere Attribute erlangen.


CVE-2014-1480: Schwachstelle im Download-Dialog

  Eine Schwachstelle im Download-Dialog führt dazu, dass es keine korrekte
  Begrenzung bei der Auswahl der Funktion gibt. Im Zusammenhang mit
  sogenannten Click-Jacking-Angriffen kann ein entfernter, nicht
  authentifizierter Angreifer erreichen, dass eine über eine manipulierte
  Web-Seite heruntergeladene Datei ausgeführt wird, anstatt diese nur zu
  speichern. Hierdurch können beliebige Programme mit den Rechten des
  Benutzers zur Ausführung kommen.
  


CVE-2014-1478: Schwachstelle in der Mozilla Browser Engine

  Eine Schwachstelle im Zusammenhang mit der Speicherverwaltung der Klassen
  MPostWriteBarrier in der Datei js/src/jit/MIR.h und der Stack-Anordnung in
  der Datei js/src/jit/AsmJS.cpp, führt dazu, dass es zu einer
  Speicherschutzverletzung kommen kann.
  Ein entfernter, nicht authentifizierter Angreifer kann durch Ausnutzen der
  Schwachstelle beliebige Befehle mit den Rechten des Benutzers ausführen oder
  Denial-of-Service-Zustände hervorrufen.


CVE-2014-1487: Schwachstelle im Web Worker

  Eine Schwachstelle in der Implementierung des Web Workers besteht in einem
  Cross-Origin-Informationsleck bei der Verarbeitung von Fehlermeldungen.
  Diese Schwachstelle erlaubt es einem entfernten, nicht authentisierten
  Angreifer, die Same-Origin-Policy zu umgehen und auf diese Weise an sensible
  Anmelde- und Authentisierungsinformationen zu gelangen.


CVE-2014-1486: Schwachstelle in imgRequestProxy

  Eine "Use-after-Free"-Schwachstelle in der Funktion imgRequestProxy besteht
  darin, dass auf Bilddaten auch nach deren Freigabe weiterhin zugegriffen
  werden kann, da der Content-Type unspezifiziert ist. Diese Schwachstelle
  erlaubt es einem entfernten, nicht authentisierten Angreifer, beliebigen
  Programmcode auszuführen und Denial-of-Service-Zustände herbeizuführen. 


CVE-2014-1482: Schwachstelle in RasterImage.cpp

  Eine Schwachstelle in RasterImage.cpp lässt den Zugriff auf nicht mehr
  benötigte und von der Anwendung freigegebene Daten mittels speziell
  konstruierter Bilddaten zu. Diese Schwachstelle erlaubt es einem entfernten,
  nicht authentisierten Angreifer, beliebigen Programmcode auszuführen und
  Denial-of-Service-Zustände herbeizuführen.


CVE-2014-1481: Mozilla: Schwachstelle im JavaScript-Handling  

  Eine Schwachstelle besteht in einer Inkonsistenz in nativen Get-Methoden der
  verschiedenen JavaScript-Engines. Diese Schwachstelle erlaubt einem
  entfernten, nicht authentisierten Angreifer, die vorgesehenen Beschränkungen
  für Objekte der Oberfläche zu umgehen.


CVE-2014-1479: Schwachstelle im Mozilla System Only Wrapper (SOW)

  Die Implementierung des System Only Wrappers (SOW) enthält eine
  Schwachstelle, wodurch bestimmte Kopieroperationen nicht zuverlässig
  verhindert werden. Diese Schwachstelle erlaubt einem entfernten, nicht
  authentisierten Angreifer die eigentlich vorgesehenen Beschränkungen für
  XUL-Benutzerinhalte zu umgehen.


CVE-2014-1477: Schwachstelle in der Mozilla Browser Engine

  Eine Schwachstelle in der Browser Engine von Mozilla führt zu einer
  Speicherschutzverletzung. Ein entfernter, nicht authentifizierter Angreifer
  kann durch Ausnutzen der Schwachstelle einen Denial-of-Service-Angriff
  durchführen oder beliebige Befehle mit den Rechten des Benutzers ausführen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2014-0148/>

Mozilla Foundation Security Advisory MFSA-2014-10:
  <http://www.mozilla.org/security/announce/2014/mfsa2014-10.html>

Mozilla Foundation Security Advisory MFSA-2014-05:
  <http://www.mozilla.org/security/announce/2014/mfsa2014-05.html>

Mozilla Foundation Security Advisory MFSA-2014-12:
  <http://www.mozilla.org/security/announce/2014/mfsa2014-12.html>

Mozilla Foundation Security Advisory MFSA-2014-08:
  <http://www.mozilla.org/security/announce/2014/mfsa2014-08.html>

Mozilla Foundation Security Advisory MFSA-2014-13:
  <http://www.mozilla.org/security/announce/2014/mfsa2014-13.html>

Mozilla Foundation Security Advisory MFSA-2014-04:
  <http://www.mozilla.org/security/announce/2014/mfsa2014-04.html>

Mozilla Foundation Security Advisory MFSA-2014-09:
  <http://www.mozilla.org/security/announce/2014/mfsa2014-09.html>

Mozilla Foundation Security Advisory MFSA-2014-06:
  <http://www.mozilla.org/security/announce/2014/mfsa2014-06.html>

Mozilla Foundation Security Advisory MFSA-2014-01:
  <http://www.mozilla.org/security/announce/2014/mfsa2014-01.html>

Mozilla Foundation Security Advisory MFSA-2014-03:
  <http://www.mozilla.org/security/announce/2014/mfsa2014-03.html>

Mozilla Foundation Security Advisory MFSA-2014-02:
  <http://www.mozilla.org/security/announce/2014/mfsa2014-02.html>

Mozilla Foundation Security Advisory MFSA-2014-07:
  <http://www.mozilla.org/security/announce/2014/mfsa2014-07.html>

Mozilla Foundation Security Advisory MFSA-2014-11:
  <http://www.mozilla.org/security/announce/2014/mfsa2014-11.html>

Schwachstelle CVE-2014-1477 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1477>

Schwachstelle CVE-2014-1479 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1479>

Schwachstelle CVE-2014-1481 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1481>

Schwachstelle CVE-2014-1486 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1486>

Schwachstelle CVE-2014-1487 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1487>

Schwachstelle CVE-2014-1478 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1478>

Schwachstelle CVE-2014-1488 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1488>

Schwachstelle CVE-2014-1490 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1490>

Schwachstelle CVE-2014-1483 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1483>

Schwachstelle CVE-2014-1485 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1485>

Schwachstelle CVE-2014-1480 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1480>

Schwachstelle CVE-2014-1489 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1489>

Schwachstelle CVE-2014-1482 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1482>

Schwachstelle CVE-2014-1491 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1491>

Schwachstelle CVE-2014-1484 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1484>

openSUSE Security Update openSUSE-SU-2014:0212-1:
  <http://lists.opensuse.org/opensuse-updates/2014-02/msg00027.html>

Ubuntu Security Notice USN-2102-1:
  <http://www.ubuntu.com/usn/usn-2102-1/>

openSUSE Security Announcement SUSE-SU-2014:0248-1:
  <http://lists.opensuse.org/opensuse-security-announce/2014-02/msg00010.html>

SUSE Security Update SUSE-SU-2014:0248-2:
  <https://www.suse.com/support/update/announcement/2014/suse-su-20140248-2.html>

Ubuntu Security Notice USN-2102-2:
  <http://www.ubuntu.com/usn/usn-2102-2>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20140220/93626ed0/attachment-0001.p7s>


Mehr Informationen über die Mailingliste Sec-cert