You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1504

[Generic/Mozilla] Mehrere Schwachstellen in Firefox 2 und 3, Thunderbird und SeaMonkey
(2008-12-18 09:37:11.989837+00) Druckversion

Quelle: http://www.mozilla.org/security/known-vulnerabilities/firefox30.html

Die neuen Versionen 3.0.5 bzw. 2.0.0.19 des verbreiteten Webbrowsers Mozilla Firefox beheben elf Schwachstellen die z.T. die Ausführung beliebigen Programmcodes auf dem beherbergenden System ermöglichen. Es wird dringend empfohlen, auf die neue Version zu aktualisieren. Neuinstallationen sollten nur mit Firefox 3.0.5 erfolgen. Da Firefox 2 nach der nun veröffentlichten Version 2.0.0.19 nicht mehr weitergepflegt werden wird, empfiehlt sich, über einen baldigen Umstieg auf Firefox 3, dann mindestens auf die Version 3.0.5 nachzudenken. Die Schwachstellen betreffen z.T. auch Thunderbird und Seamonkey.

Inhalt

Zusammenfassung

  • CVE-2008-5500:
    • Betroffen: Mozilla Firefox, Thunderbird, SeaMonkey
    • Einfallstor: JavaScript
    • Angriffsvoraussetzung: Benutzerinteraktion
    • Angriffsvektorklasse: remote
    • Auswirkung: user compromise
    • Typ: Pufferüberlaufschwachstelle
    • Gefahrenpotential: hoch
    • Workaround: Abschaltung von JavaScript
    • Gegenmaßnahmen: Installation einer nicht betroffenen Version
    • Vulnerability ID: CVE-2008-5500, CVE-2008-5501
  • CVE-2008-5501:
    • Betroffen: Mozilla Firefox, Thunderbird, SeaMonkey
    • Einfallstor: JavaScript
    • Angriffsvoraussetzung: Benutzerinteraktion
    • Angriffsvektorklasse: remote
    • Auswirkung: user compromise
    • Typ: Pufferüberlaufschwachstelle
    • Gefahrenpotential: hoch
    • Workaround: Abschaltung von JavaScript
    • Gegenmaßnahmen: Installation einer nicht betroffenen Version
    • Vulnerability ID: CVE-2008-5501
  • CVE-2008-5503:
    • Betroffen: Mozilla Firefox 2, Thunderbird, SeaMonkey
    • Nicht betroffen: Mozilla Firefox 3
    • Einfallstor: XBL Binding
    • Angriffsvoraussetzung: Benutzerinteraktion
    • Angriffsvektorklasse: remote
    • Auswirkung: Informationsleck (Verletzung der same origin policy)
    • Typ: Entwurfsfehler
    • Gefahrenpotential: mittel bis hoch (je nach dem, welche Daten verloren gehen)
    • Workaround: nein
    • Gegenmaßnahmen: Installation einer nicht betroffenen Version
    • Vulnerability ID: CVE-2008-5503
  • CVE-2008-5504:
    • Betroffen: Mozilla Firefox 2
    • Nicht betroffen: Mozilla Firefox 3, Thunderbird, SeaMonkey
    • Einfallstor: JavaScript
    • Angriffsvoraussetzung: Benutzerinteraktion
    • Angriffsvektorklasse: remote
    • Auswirkung: user compromise
    • Typ: Entwurfsfehler
    • Gefahrenpotential: hoch
    • Workaround: Abschaltung von JavaScript
    • Gegenmaßnahmen: Installation einer nicht betroffenen Version
    • Vulnerability ID: CVE-2008-5504
  • CVE-2008-5506:
    • Betroffen: Mozilla Firefox, Thunderbird, SeaMonkey
    • Einfallstor: JavaScript
    • Angriffsvoraussetzung: Benutzerinteraktion
    • Angriffsvektorklasse: remote
    • Auswirkung: Informationsleck (Verletzung der same origin policy)
    • Typ: Entwurfsfehler
    • Gefahrenpotential: hoch
    • Workaround: Abschaltung von JavaScript
    • Gegenmaßnahmen: Installation einer nicht betroffenen Version
    • Vulnerability ID: CVE-2008-5506
  • CVE-2008-5507:
    • Betroffen: Mozilla Firefox, Thunderbird, SeaMonkey
    • Einfallstor: JavaScript
    • Angriffsvoraussetzung: Benutzerinteraktion
    • Angriffsvektorklasse: remote
    • Auswirkung: Informationsleck
    • Typ: Entwurfsfehler
    • Gefahrenpotential: mittel bis hoch (je nach dem, welche Daten verloren gehen)
    • Workaround: Abschaltung von JavaScript
    • Gegenmaßnahmen: Installation einer nicht betroffenen Version
    • Vulnerability ID: CVE-2008-5507
  • CVE-2008-5508:
    • Betroffen: Mozilla Firefox, Thunderbird, SeaMonkey
    • Einfallstor: JavaScript
    • Angriffsvoraussetzung: Benutzerinteraktion
    • Angriffsvektorklasse: remote
    • Auswirkung: Informationsleck
    • Typ: Entwurfsfehler
    • Gefahrenpotential: mittel bis hoch (je nach dem, welche Daten verloren gehen)
    • Workaround: Abschaltung von JavaScript
    • Gegenmaßnahmen: Installation einer nicht betroffenen Version
    • Vulnerability ID: CVE-2008-5508
  • CVE-2008-5510:
    • Betroffen: Mozilla Firefox, Thunderbird, SeaMonkey
    • Einfallstor: CSS
    • Angriffsvoraussetzung: Benutzerinteraktion
    • Angriffsvektorklasse: remote
    • Auswirkung: Umgehung der script sanitization
    • Typ: Entwurfsfehler
    • Gefahrenpotential: mittel
    • Workaround: nein
    • Gegenmaßnahmen: Installation einer nicht betroffenen Version
    • Vulnerability ID: CVE-2008-5510
  • CVE-2008-5511:
    • Betroffen: Mozilla Firefox, Thunderbird, SeaMonkey
    • Einfallstor: XBL Binding
    • Angriffsvoraussetzung: Benutzerinteraktion
    • Angriffsvektorklasse: remote
    • Auswirkung: Ausführung von JavaScript-Code im Kontext einer anderen Webseite (XSS)
    • Typ: Cross Site Scripting Schwachstelle
    • Gefahrenpotential: mittel bis hoch
    • Workaround: Abschaltung von JavaScript
    • Gegenmaßnahmen: Installation einer nicht betroffenen Version
    • Vulnerability ID: CVE-2008-5511
  • CVE-2008-5512:
    • Betroffen: Mozilla Firefox, Thunderbird, SeaMonkey
    • Einfallstor: XBL Binding
    • Angriffsvoraussetzung: Benutzerinteraktion
    • Angriffsvektorklasse: remote
    • Auswirkung: Ausführung von JavaScript-Code im Kontext einer anderen Webseite (XSS)
    • Typ: Cross Site Scripting Schwachstelle
    • Gefahrenpotential: mittel bis hoch
    • Workaround: Abschaltung von JavaScript
    • Gegenmaßnahmen: Installation einer nicht betroffenen Version
    • Vulnerability ID: CVE-2008-5512
  • CVE-2008-5513:
    • Betroffen: Mozilla Firefox 2, 3
    • Nicht betroffen: Mozilla Thunderbird, SeaMonkey
    • Einfallstor: JavaScript
    • Angriffsvoraussetzung: Benutzerinteraktion
    • Angriffsvektorklasse: remote
    • Auswirkung: Ausführung von JavaScript-Code im Kontext einer anderen Webseite (XSS)
    • Typ: Cross Site Scripting Schwachstelle
    • Gefahrenpotential: mittel bis hoch
    • Workaround: Abschaltung von JavaScript
    • Gegenmaßnahmen: Installation einer nicht betroffenen Version
    • Vulnerability ID: CVE-2008-5513

Betroffene Systeme

  • CVE-2008-5500:
    • Mozilla Firefox Versionen vor 3.0.5
    • Mozilla Firefox Versionen vor 2.0.0.19
    • Mozilla Thunderbird Versionen vor 2.0.0.19
    • SeaMonkey Versionen vor 1.1.14
  • CVE-2008-5501:
    • Mozilla Firefox Versionen vor 3.0.5
    • Mozilla Firefox Versionen vor 2.0.0.19
    • Mozilla Thunderbird Versionen vor 2.0.0.19
    • SeaMonkey Versionen vor 1.1.14
  • CVE-2008-5503:
    • Mozilla Firefox Versionen vor 2.0.0.19
    • Mozilla Thunderbird Versionen vor 2.0.0.19
    • SeaMonkey Versionen vor 1.1.14
  • CVE-2008-5504:
    • Mozilla Firefox Versionen vor 2.0.0.19
  • CVE-2008-5506:
    • Mozilla Firefox Versionen vor 3.0.5
    • Mozilla Firefox Versionen vor 2.0.0.19
    • Mozilla Thunderbird Versionen vor 2.0.0.19
    • SeaMonkey Versionen vor 1.1.14
  • CVE-2008-5507:
    • Mozilla Firefox Versionen vor 3.0.5
    • Mozilla Firefox Versionen vor 2.0.0.19
    • Mozilla Thunderbird Versionen vor 2.0.0.19
    • SeaMonkey Versionen vor 1.1.14
  • CVE-2008-5508:
    • Mozilla Firefox Versionen vor 3.0.5
    • Mozilla Firefox Versionen vor 2.0.0.19
    • Mozilla Thunderbird Versionen vor 2.0.0.19
    • SeaMonkey Versionen vor 1.1.14
  • CVE-2008-5510:
    • Mozilla Firefox Versionen vor 3.0.5
    • Mozilla Firefox Versionen vor 2.0.0.19
    • Mozilla Thunderbird Versionen vor 2.0.0.19
    • SeaMonkey Versionen vor 1.1.14
  • CVE-2008-5511:
    • Mozilla Firefox Versionen vor 3.0.5
    • Mozilla Firefox Versionen vor 2.0.0.19
    • Mozilla Thunderbird Versionen vor 2.0.0.19
    • SeaMonkey Versionen vor 1.1.14
  • CVE-2008-5512:
    • Mozilla Firefox Versionen vor 3.0.5
    • Mozilla Firefox Versionen vor 2.0.0.19
    • Mozilla Thunderbird Versionen vor 2.0.0.19
    • SeaMonkey Versionen vor 1.1.14
  • CVE-2008-5513:
    • Mozilla Firefox Versionen vor 3.0.5
    • Mozilla Firefox Versionen vor 2.0.0.19

Nicht betroffene Systeme

  • CVE-2008-5500:
    • Mozilla Firefox 3.0.5
    • Mozilla Firefox 2.0.0.19
    • Mozilla Thunderbird 2.0.0.19
    • SeaMonkey 1.1.14
  • CVE-2008-5501:
    • Mozilla Firefox 3.0.5
    • Mozilla Firefox 2.0.0.19
    • Mozilla Thunderbird 2.0.0.19
    • SeaMonkey 1.1.14
  • CVE-2008-5503:
    • Mozilla Firefox 3.0.5
    • Mozilla Firefox 2.0.0.19
    • Mozilla Thunderbird 2.0.0.19
    • SeaMonkey 1.1.14
  • CVE-2008-5504:
    • Mozilla Firefox 3
    • Mozilla Firefox 2.0.0.19
    • Mozilla Thunderbird
    • SeaMonkey
  • CVE-2008-5506:
    • Mozilla Firefox 3.0.5
    • Mozilla Firefox 2.0.0.19
    • Mozilla Thunderbird 2.0.0.19
    • SeaMonkey 1.1.14
  • CVE-2008-5507:
    • Mozilla Firefox 3.0.5
    • Mozilla Firefox 2.0.0.19
    • Mozilla Thunderbird 2.0.0.19
    • SeaMonkey 1.1.14
  • CVE-2008-5508:
    • Mozilla Firefox 3.0.5
    • Mozilla Firefox 2.0.0.19
    • Mozilla Thunderbird 2.0.0.19
    • SeaMonkey 1.1.14
  • CVE-2008-5510:
    • Mozilla Firefox 3.0.5
    • Mozilla Firefox 2.0.0.19
    • Mozilla Thunderbird 2.0.0.19
    • SeaMonkey 1.1.14
  • CVE-2008-5511:
    • Mozilla Firefox 3.0.5
    • Mozilla Firefox 2.0.0.19
    • Mozilla Thunderbird 2.0.0.19
    • SeaMonkey 1.1.14
  • CVE-2008-5512:
    • Mozilla Firefox 3.0.5
    • Mozilla Firefox 2.0.0.19
    • Mozilla Thunderbird 2.0.0.19
    • SeaMonkey 1.1.14
  • CVE-2008-5513:
    • Mozilla Firefox 3.0.5
    • Mozilla Firefox 2.0.0.19
    • Mozilla Thunderbird
    • SeaMonkey

Gegenmaßnahmen

Vulnerability ID

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.