RUS-CERT-1591 – Archivierte Meldung

Meldung Nr: RUS-CERT-1591

[Generic/Firefox] Firefox 3.0.12 und 3.5.1 beheben mehrere Schwachstellen
(2009-07-22 14:50:12.254702+00)

Quelle: http://www.mozilla.org/security/known-vulnerabilities/firefox30.html#firefox3.0.12

Die Versionen 3.0.12 und 3.5.1 des verbreiteten Webbrowsers Firefox schließen zehn zum allergrößten Teil kritische Schwachstellen der Versionen 3.0.11 und 3.5. Die Schwachstellen ermöglichen zum Großteil Ausführung beliebigen Programmcodes oder JavaScript-Codes auf dem beherbergenden System. Eine Aktualisierung des Browsers wird daher dringend empfohlen.

Zusammenfassung

CVE-2009-2477:

Betroffen:	Mozilla Firefox 3.5.0
Nicht betroffen:	Mozilla Firefox 3.5.1
Plattform:	generic
Einfallstor:	JavaScript
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	speicherverletzung
Gefahrenpotential:	hoch
Workaround:	ja
Gegenmaßnahmen:	neue Version
Referenz:	RUS-CERT-1589
Vulnerability ID:	CVE-2009-2477

CVE-2009-2472:

Betroffen:	Mozilla Firefox 3.0.11 und früher
Nicht betroffen:	Mozilla Firefox 3.0.12, Mozilla Firefox 3.5
Plattform:	generic
Einfallstor:	JavaScript
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	cross site scripting
Typ:	Entwurfsfehler
Gefahrenpotential:	mittel
Workaround:	bedingt
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2009-2472

CVE-2009-2471:

Betroffen:	Mozilla Firefox 3.0.11 und früher
Nicht betroffen:	Mozilla Firefox 3.0.12, Mozilla Firefox 3.5
Plattform:	generic
Einfallstor:	JavaScript
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	bedingt
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2009-2471

CVE-2009-2469:

Betroffen:	Mozilla Firefox 3.0.11 und früher
Nicht betroffen:	Mozilla Firefox 3.0.12, Mozilla Firefox 3.5
Plattform:	generic
Einfallstor:	SVG-Element, JavaScript
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	bedingt
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2009-2469

CVE-2009-2468:

Betroffen:	Mozilla Firefox 3.0.11 und früher
Nicht betroffen:	Mozilla Firefox 3.0.12, Mozilla Firefox 3.5
Plattform:	Unixoid
Einfallstor:	Rendering von Glyphen (graphische Repräsentation der Schriftzeichen)
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	nein
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2009-2468

CVE-2009-2467:

Betroffen:	Mozilla Firefox 3.0.11 und früher, Mozilla Firefox 3.5
Nicht betroffen:	Mozilla Firefox 3.0.12, Mozilla Firefox 3.5.1
Plattform:	generic
Einfallstor:	Flash-Objekt
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	nein
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2009-2467

CVE-2009-2462:

Betroffen:	Mozilla Firefox 3.0.11 und früher
Nicht betroffen:	Mozilla Firefox 3.0.12, Mozilla Firefox 3.5
Plattform:	generic
Einfallstor:	HTML-Seite
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	nein
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2009-2462

CVE-2009-2463:

Betroffen:	Mozilla Firefox 3.0.11 und früher
Nicht betroffen:	Mozilla Firefox 3.0.12, Mozilla Firefox 3.5
Plattform:	generic
Einfallstor:	Base64-kodierte Daten
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	nein
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2009-2463

CVE-2009-2464:

Betroffen:	Mozilla Firefox 3.0.11 und früher
Nicht betroffen:	Ferefx 3.0.12, Mozilla Firefox 3.5
Plattform:	generic
Einfallstor:	mehrere RDFs im XUL-Baum
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	nein
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2009-2464

CVE-2009-2465:

Betroffen:	Mozilla Firefox 3.0.11 und früher
Nicht betroffen:	Mozilla Firefox 3.0.12, Mozilla Firefox 3.5
Plattform:	generic
Einfallstor:	HTML Frames
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	nein
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2009-2465

CVE-2009-2466:

Betroffen:	Mozilla Firefox 3.0.11 und früher
Nicht betroffen:	Mozilla Firefox 3.0.12, Mozilla Firefox 3.5
Plattform:	generic
Einfallstor:	JavaScript
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	bedingt
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2009-2466

Workaround

CVE-2009-2477:
- Deaktivierung des JavaScript Just-In-Time-Compilers (JIT), wie beschrieben in RUS-CERT-1589
CVE-2009-2472:
- Deaktivierung von JavaScript
CVE-2009-2471:
- Deaktivierung von JavaScript
CVE-2009-2469:
- Deaktivierung von JavaScript
CVE-2009-2468:
- kein Workaround bekannt
CVE-2009-2467:
- kein Workaround bekannt
CVE-2009-2462:
- kein Workaround bekannt
CVE-2009-2463:
- kein Workaround bekannt
CVE-2009-2464:
- kein Workaround bekannt
CVE-2009-2465:
- kein Workaround bekannt
CVE-2009-2466:
- Deaktivierung von JavaScript

Gegenmaßnahmen

CVE-2009-2477:
- Installation von Mozilla Firefox 3.5.1
CVE-2009-2472:
- Installation von Mozilla Firefox 3.5.1
- Installation von Mozilla Firefox 3.0.12
CVE-2009-2471:
- Installation von Mozilla Firefox 3.5.1
- Installation von Mozilla Firefox 3.0.12
CVE-2009-2469:
- Installation von Mozilla Firefox 3.5.1
- Installation von Mozilla Firefox 3.0.12
CVE-2009-2468:
- Installation von Mozilla Firefox 3.5.1
- Installation von Mozilla Firefox 3.0.12
CVE-2009-2467:
- Installation von Mozilla Firefox 3.5.1
- Installation von Mozilla Firefox 3.0.12
CVE-2009-2462:
- Installation von Mozilla Firefox 3.5.1
- Installation von Mozilla Firefox 3.0.12
CVE-2009-2463:
- Installation von Mozilla Firefox 3.5.1
- Installation von Mozilla Firefox 3.0.12
CVE-2009-2464:
- Installation von Mozilla Firefox 3.5.1
- Installation von Mozilla Firefox 3.0.12
CVE-2009-2465:
- Installation von Mozilla Firefox 3.5.1
- Installation von Mozilla Firefox 3.0.12
CVE-2009-2466:
- Installation von Mozilla Firefox 3.5.1
- Installation von Mozilla Firefox 3.0.12

Vulnerability ID

(og)

Weitere Artikel zu diesem Thema:

[Generic/Firefox] Kritische Schwachstelle in Firefox 3.5 (2009-07-16)
Eine Schwachstelle im Just-In-Time Compiler für JavaScript (JIT) des Webbrowsers Firefox 3.5 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Ein Patch ist in Vorbereitung, in der Zwischenzeit wird die Abschaltung der JIT empfohlen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=1591