Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1591

[Generic/Firefox] Firefox 3.0.12 und 3.5.1 beheben mehrere Schwachstellen
(2009-07-22 14:50:12.254702+00) Druckversion

Quelle: http://www.mozilla.org/security/known-vulnerabilities/firefox30.html#firefox3.0.12

Die Versionen 3.0.12 und 3.5.1 des verbreiteten Webbrowsers Firefox schließen zehn zum allergrößten Teil kritische Schwachstellen der Versionen 3.0.11 und 3.5. Die Schwachstellen ermöglichen zum Großteil Ausführung beliebigen Programmcodes oder JavaScript-Codes auf dem beherbergenden System. Eine Aktualisierung des Browsers wird daher dringend empfohlen.

Inhalt

Zusammenfassung

  • CVE-2009-2477:
    Betroffen: Mozilla Firefox 3.5.0
    Nicht betroffen: Mozilla Firefox 3.5.1
    Plattform: generic
    Einfallstor: JavaScript
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: speicherverletzung
    Gefahrenpotential: hoch
    Workaround: ja
    Gegenmaßnahmen: neue Version
    Referenz: RUS-CERT-1589
    Vulnerability ID: CVE-2009-2477
  • CVE-2009-2472:
    Betroffen: Mozilla Firefox 3.0.11 und früher
    Nicht betroffen: Mozilla Firefox 3.0.12, Mozilla Firefox 3.5
    Plattform: generic
    Einfallstor: JavaScript
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: cross site scripting
    Typ: Entwurfsfehler
    Gefahrenpotential: mittel
    Workaround: bedingt
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-2472
  • CVE-2009-2471:
    Betroffen: Mozilla Firefox 3.0.11 und früher
    Nicht betroffen: Mozilla Firefox 3.0.12, Mozilla Firefox 3.5
    Plattform: generic
    Einfallstor: JavaScript
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: bedingt
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-2471
  • CVE-2009-2469:
    Betroffen: Mozilla Firefox 3.0.11 und früher
    Nicht betroffen: Mozilla Firefox 3.0.12, Mozilla Firefox 3.5
    Plattform: generic
    Einfallstor: SVG-Element, JavaScript
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: bedingt
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-2469
  • CVE-2009-2468:
    Betroffen: Mozilla Firefox 3.0.11 und früher
    Nicht betroffen: Mozilla Firefox 3.0.12, Mozilla Firefox 3.5
    Plattform: Unixoid
    Einfallstor: Rendering von Glyphen (graphische Repräsentation der Schriftzeichen)
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-2468
  • CVE-2009-2467:
    Betroffen: Mozilla Firefox 3.0.11 und früher, Mozilla Firefox 3.5
    Nicht betroffen: Mozilla Firefox 3.0.12, Mozilla Firefox 3.5.1
    Plattform: generic
    Einfallstor: Flash-Objekt
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-2467
  • CVE-2009-2462:
    Betroffen: Mozilla Firefox 3.0.11 und früher
    Nicht betroffen: Mozilla Firefox 3.0.12, Mozilla Firefox 3.5
    Plattform: generic
    Einfallstor: HTML-Seite
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-2462
  • CVE-2009-2463:
    Betroffen: Mozilla Firefox 3.0.11 und früher
    Nicht betroffen: Mozilla Firefox 3.0.12, Mozilla Firefox 3.5
    Plattform: generic
    Einfallstor: Base64-kodierte Daten
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-2463
  • CVE-2009-2464:
    Betroffen: Mozilla Firefox 3.0.11 und früher
    Nicht betroffen: Ferefx 3.0.12, Mozilla Firefox 3.5
    Plattform: generic
    Einfallstor: mehrere RDFs im XUL-Baum
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-2464
  • CVE-2009-2465:
    Betroffen: Mozilla Firefox 3.0.11 und früher
    Nicht betroffen: Mozilla Firefox 3.0.12, Mozilla Firefox 3.5
    Plattform: generic
    Einfallstor: HTML Frames
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-2465
  • CVE-2009-2466:
    Betroffen: Mozilla Firefox 3.0.11 und früher
    Nicht betroffen: Mozilla Firefox 3.0.12, Mozilla Firefox 3.5
    Plattform: generic
    Einfallstor: JavaScript
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: bedingt
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-2466

Workaround

  • CVE-2009-2477:
    • Deaktivierung des JavaScript Just-In-Time-Compilers (JIT), wie beschrieben in RUS-CERT-1589
  • CVE-2009-2472:
    • Deaktivierung von JavaScript
  • CVE-2009-2471:
    • Deaktivierung von JavaScript
  • CVE-2009-2469:
    • Deaktivierung von JavaScript
  • CVE-2009-2468:
    • kein Workaround bekannt
  • CVE-2009-2467:
    • kein Workaround bekannt
  • CVE-2009-2462:
    • kein Workaround bekannt
  • CVE-2009-2463:
    • kein Workaround bekannt
  • CVE-2009-2464:
    • kein Workaround bekannt
  • CVE-2009-2465:
    • kein Workaround bekannt
  • CVE-2009-2466:
    • Deaktivierung von JavaScript

Gegenmaßnahmen

Vulnerability ID

(og)

Weitere Artikel zu diesem Thema:

  • [Generic/Firefox] Kritische Schwachstelle in Firefox 3.5 (2009-07-16)
    Eine Schwachstelle im Just-In-Time Compiler für JavaScript (JIT) des Webbrowsers Firefox 3.5 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Ein Patch ist in Vorbereitung, in der Zwischenzeit wird die Abschaltung der JIT empfohlen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.