In den jüngst bereitgestellten neuen Versionen Firefox 2.0.0.12, Thunderbird 2.0.0.9 und SeaMonkey 1.1.8 sind zahlreiche, teils kritische Schwachstellen früherer Versionen behoben. Neben verschiedenen Schwachstellen, die zum Absturz der Applikation und diversen Problemen bei der Dateiverarbeitung führen, sind darunter auch Schwachstellen, die von einem Angreifer dazu ausgenutzt werden könnnen, beliebigen Programmcode auf dem behergenden Rechnersystem auszuführen. Es wird dringend empfohlen, die neuen Versionen zu installieren.

Betroffene Systeme

• CVE-2008-0413:
  • Versionen vor Firefox 2.0.0.12
  • Versionen vor Thunderbird 2.0.0.9
  • Versionen vor SeaMonkey 1.1.8
• CVE-2008-0414:
  • Versionen vor Firefox 2.0.0.12
  • Versionen vor SeaMonkey 1.1.8
• CVE-2008-0415:
  • Versionen vor Firefox 2.0.0.12
  • Versionen vor Thunderbird 2.0.0.9
  • Versionen vor SeaMonkey 1.1.8
• CVE-2008-0417:
  • Versionen vor Firefox 2.0.0.12
• CVE-2008-0418:
  • Versionen vor Firefox 2.0.0.12
  • Versionen vor Thunderbird 2.0.0.9
  • Versionen vor SeaMonkey 1.1.8
• CVE-2008-0419:
  • Versionen vor Firefox 2.0.0.12
  • Versionen bis inklusive Thunderbird 2.0.0.9
  • Versionen vor SeaMonkey 1.1.8
• CVE-2008-0591:
  • Versionen vor Firefox 2.0.0.12
  • Versionen vor Thunderbird 2.0.0.9
• CVE-2008-0592:
  • Versionen vor Firefox 2.0.0.12
  • Versionen vor SeaMonkey 1.1.8
• CVE-2008-0593:
  • Versionen vor Firefox 2.0.0.12
  • Versionen vor SeaMonkey 1.1.8
• CVE-2008-0594:
  • Versionen vor Firefox 2.0.0.12

Nicht betroffene Systeme

• CVE-2008-0413:
  
  • Firefox 2.0.0.12
  • Thunderbird 2.0.0.9
  • SeaMonkey 1.1.8
• CVE-2008-0414:
  
  • Firefox 2.0.0.12
  • SeaMonkey 1.1.8
• CVE-2008-0415:
  
  • Firefox 2.0.0.12
  • Thunderbird 2.0.0.9
  • SeaMonkey 1.1.8
• CVE-2008-0417:
  
  • Firefox 2.0.0.12
• CVE-2008-0418:
  
  • Firefox 2.0.0.12
  • Thunderbird 2.0.0.9
  • SeaMonkey 1.1.8
• CVE-2008-0419:
  
  • Firefox 2.0.0.12
  • SeaMonkey 1.1.8
• CVE-2008-0591:
  
  • Firefox 2.0.0.12
  • Thunderbird 2.0.0.9
• CVE-2008-0592:
  
  • Firefox 2.0.0.12
  • SeaMonkey 1.1.8
• CVE-2008-0593:
  
  • Firefox 2.0.0.12
  • SeaMonkey 1.1.8
• CVE-2008-0594:
  
  • Firefox 2.0.0.12

Einfallstor

• CVE-2008-0413:
  Entsprechend formulierter JavaScript-Code
• CVE-2008-0414:
  Entsprechend formulierter HTML-Code
• CVE-2008-0415:
  Entsprechend formulierter JavaScript-Code
• CVE-2008-0417:
  Entsprechend formulierte Webseiten
• CVE-2008-0418:
  Speziell formulierte "chrome://"-Tags in HTML-Code
• CVE-2008-0419:
  Speziell präparierte Bild-Dateien
• CVE-2008-0591:
  Entsprechend formulierter JavaScript-Code
• CVE-2008-0592:
  Datei mit der Header-Kombination Content-Disposition: attachment und Content-Type: plain/text
• CVE-2008-0593:
  Spezieller Redirect (Code 302) auf eine Anfrage nach einem Style Sheet
• CVE-2008-0594:
  Speziell formulierte Seite, die in <div>-Tags eingebettet ist

Angriffsvoraussetzung

• CVE-2008-0413:
  Benutzerinteraktion
  (user interaction)
  Ein potentielles Opfer muss eine entsprechende Seite betrachten.
• CVE-2008-0414:
  Benutzerinteraktion
  (user interaction)
  Ein potentielles Opfer muss eine entsprechende Seite betrachten.
• CVE-2008-0415:
  Benutzerinteraktion
  (user interaction)
  Ein potentielles Opfer muss eine entsprechende Seite betrachten.
• CVE-2008-0417:
  Benutzerinteraktion
  (user interaction)
  Ein potentielles Opfer muss eine entsprechende Seite betrachten und die Frage der Speicherung eingegebener Passwörter bejahen.
• CVE-2008-0418:
  Benutzerinteraktion
  (user interaction)
  • Ein potentielles Opfer muss eine entsprechende Seite betrachten.
• Installation einer Erweiterung ("Add-On"), die als flat package und nicht als .jar-Archiv vorliegt

• CVE-2008-0419:
  Benutzerinteraktion
  (user interaction)
  Ein potentielles Opfer muss eine entsprechende Seite betrachten. (user interaction)
• CVE-2008-0591:
  Benutzerinteraktion
  (user interaction)
  Ein potentielles Opfer muss eine entsprechende Seite betrachten. (user interaction)
• CVE-2008-0592:
  Benutzerinteraktion
  (user interaction)
  Ein potentielles Opfer muss eine entsprechende Datei bearbeiten.
• CVE-2008-0593:
  (user interaction)
  Ein potentielles Opfer muss eine entsprechende Seite betrachten.
• CVE-2008-0594:
  (user interaction)
  Ein potentielles Opfer muss eine entsprechende Seite betrachten.

Angriffsvektorklasse

• CVE-2008-0413:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-0414:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-0415:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-0417:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-0418:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-0419:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-0591:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-0592:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-0593:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-0594:
  über eine Netzwerkverbindung
  (remote)

Auswirkung

• CVE-2008-0413:
  
  • Versetzen der Applikation in einen unbenutzbaren Zustand, bzw. Absturz des Browers
    (denial of service)
  • Potentiell Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des Browser-Prozesses
    (user compromise)
• CVE-2008-0414:
  Steuerung des Eingabefokus durch den Angreifer und darüber Diebstahl von Dateien, auf die der Browser-Benutzer Zugriff hat
  (information leak)
• CVE-2008-0415:
  Ausführung von JavaScript-Code außerhalb der Sandbox mit Chrome-Privilegien (Privilegien des Browser-Prozesses)
• CVE-2008-0417:
  Zerstörung der in der Browser-internen Datenbank gespeicherten Passwörter
  (denial of service)
• CVE-2008-0418:
  Auslesen von Dateien auf dem beherbergenden Rechnersystem
  (information leak)
  (directoty traversal)
• CVE-2008-0419:
  
  • Auslesen der navigation history
    (nformation leak)
  • Versetzen der Applikation in einen unbenutzbaren Zustand, bzw. Absturz des Browers
    (denial of service)
  • Potentiell Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des Browser-Prozesses
    (user compromise)
• CVE-2008-0591:
  Manipulation des Fensterfokus
• CVE-2008-0592:
  falsche Behandlung von Dateien des Content-Type: plain/text
• CVE-2008-0593:
  Auslesen potentiell sensitiver URL-Daten (etwa Authentifizierungstokens)
  (nformation leak)
• CVE-2008-0594:
  Unterdrückung der Web Forgery-Warnung

Typ der Verwundbarkeit

• CVE-2008-0413:
  Speicherverletzung nicht näher beschriebener Art (vermtl. Pufferüberlaufschwachstelle)
  (buffer overflow bug)
• CVE-2008-0414:
  Designfehler
  (design flaw)
• CVE-2008-0415:
  unbekannt
• CVE-2008-0417:
  unbekannt
• CVE-2008-0418:
  unbekannt
• CVE-2008-0419:
  Speicherverletzung nicht näher beschriebener Art (vermtl. Pufferüberlaufschwachstelle)
  (buffer overflow bug)
• CVE-2008-0591:
  unbekannt
• CVE-2008-0592:
  unbekannt
• CVE-2008-0593:
  Designfehler
  (design flaw)
• CVE-2008-0594:
  unbekannt, vermutlich simpler Programmierfehler
  (errant programming)

Gefahrenpotential

• CVE-2008-0413:
  hoch
• CVE-2008-0414:
  mittel bis hoch
• CVE-2008-0415:
  hoch
• CVE-2008-0417:
  mittel
• CVE-2008-0418:
  hoch
• CVE-2008-0419:
  hoch
• CVE-2008-0591:
  mittel bis hoch
• CVE-2008-0592:
  niedrig
• CVE-2008-0593:
  mittel bis hoch
• CVE-2008-0594:
  niedrig bis mittel

Beschreibung

• CVE-2008-0413:
  Eine Schwachstelle in der Speicherverwaltung der Browser Engine kann von einem Angreifer dazu ausgenutzt werden, den Browser in einen unbenutzbaren Zustand zu versetzen oder zum Absturz zu bringen. Da bei erfolgreicher Ausnutzung eine Speicherverletzung ausgelöst wird, muss davon ausgegangen werden, dass diese Schwachstelle auch zur Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des Browser-Benutzers ausgenutzt wird. Die Schwachstelle tritt bei der Verarbeitung von JavaScript-Code auf.
• CVE-2008-0414:
  Eine Schwachstelle in der Verarbeitung von HTML-Code kann durch geschicke Formulierung des Codes einer Seite von einem Angreifer dazu ausgenutzt werden, den Eingabefokus im Browser zu steuern und so den Browser-Benutzer dazu zu bringen, Dateien, auf die er lesenden Zugriff hat unwissentlich und unwillentlich an eine vom Angreifer spezifizierte Stelle (üblicherweise der Webserver der den zum Angriff verwendeten HTML-Code bereitgestellt hat) zu senden. Dazu muss der Angreifer den Dateipfad der zu stehlenden Datei kennen. Z.B. im Falle von Dateien, die an standardisierten Orten abgelegt werden, ist dies trivial.
• CVE-2008-0415:
  Eine Schwachstelle in der Implementierung der Sandboxfunktionen von Firefox, Thunderbird und Seamonkey der o.g. Versionen kann von einem Angreifer dazu ausgenutzt werden, JavaScript-Code auf dem beherbergenden Rechnersystem mit den Privilegien des Browser-Prozesses auszuführen.
• CVE-2008-0417:
  Eine Schwachstelle in der Implementierung zur Passwortverwaltung von Firefox kann von einem Angreifer dazu ausgenutzt werden, newline-Zeichen in die Datenbank einzufügen und sie damit zu zerstören. Auch Passwörter für andere Webserver gehen damit verloren. Die Schwachstelle kann durch entsprechend formulierten Seitencode ausgelöst werden. Zur erfolgreichen Ausnutzung muss ein Benutzer die Datenbank öffnen und ein neues Passwort speichern.
• CVE-2008-0418:
  Eine Schwachstelle in der Implementierung des Chrome URI-Schemas kann von einem Angreifer dazu ausgenutzt werden, Daten die sich im Dateibaum des beherbergenden Rechnersystems befinden, auszulesen. Dazu ist es erforderlich, dass eine Mozilla-Chrome-Paket als sog. flat package und nicht, wie üblicherweise, als .jar-Archiv installiert ist. Dies erlaubt einem Angreifer, der einem potentiellen Opfer eine speziell formulierte Webseite präsentiert, die dieser mit dem Browser betrachtet, mittels entsprechender chrome://-URIs auf Dateien im Verzeichnisbaum des beherbergenden Rechnersystems zuzugreifen.
• CVE-2008-0419:
  Eine Schwachstelle in der Verarbeitung von Bildern kann von einem Angreifer dazu ausgenutzt werden, die navigation history des Browsers auszulesen sowie den Browser in einen unbenutzbaren Zustand zu versetzen oder zum Absturz zu bringen. Da bei erfolgreicher Ausnutzung eine Speicherverletzung ausgelöst wird, muss davon ausgegangen werden, dass diese Schwachstelle auch zur Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des Browser-Benutzers ausgenutzt wird.
• CVE-2008-0591:
  Eine Schwachstelle in der Verarbeitung von JavaScript-Code kann von einem Angreifer dazu ausgenutzt werden, den Fensterfokus zu manipulieren. Ein mögliches Szenario könnte die Manipulation des Fensterfokus bei einem Sicherheitsrelevanten Dialog, etwa bei der Bestätigung zu installierender Software, sein. Diese hätte in einer Weise zu erfolgen, dass der Benutzer nicht willentlich der Installation eines durch den Angreifer gewählten Programms zustimmt, indem der Fokus des Dialogfensters in den Fokus gebracht wird, wenn der Benutzer etwas anderes erwartet.
• CVE-2008-0592:
  Eine Schwachstelle in der Verarbeitung von Datei-Headers kann von einem Angreifer dazu ausgenutzt werden, das Verhalten des Browsers bei Erhalt von Dateien des Content-Type: plain/text zu verändern. Nachdem eine Datei mit der Header-Kombination Content-Disposition: attachment und Content-Type: plain/text verarbeitet wurde, deren tatsächlicher Typ nicht mit dem Wert plain/text zusammenpasst, werden Dateien mit diesem Content-Type nicht mehr normal geöffnet sondern es wird der Dialog zur Speicherung der Datei geöffnet.
• CVE-2008-0593:
  Eine Schwachstelle, die darin besteht, dass der Browser bei der Anforderung von Stylesheets beliebigen Redirects (Code 302) folgt, und so potentiell sensitive Information, die im URL enthalten ist an einen vom Angreifer kontrollierten Webserver weiterleitet. Da viele Webserver URL-basierte Authentifizierung verwenden, ist durch die Ausnutzung der Schwachstelle das Phishen von Authentifizierungsdaten möglich.
• CVE-2008-0594:
  Beim Betrachten einer Seite, die komplett in <<>div<>>-Tags eingebettet ist, wird die Anzeige der Web Forgery-Anzeige unterdrückt, solange, bis der Benutzer den Tab wechselt und wieder zurück zum ursprünglichen Tab wechselt. Dies ermöglicht einem Angreifer, entsprechende URLs zu platzieren und darauf zu hoffen, dass der Benutzer -- ohne die Hilfe des Browsers -- diese nicht bemerkt und so z.B. leichter Opfer von Phishing-Angriffen wird.

Workaround

• CVE-2008-0413:
  Abschaltung von JavaScript
• CVE-2008-0414:
  Kein Workaround verfügbar
• CVE-2008-0415:
  Abschaltung von JavaScript
• CVE-2008-0417:
  Keine neuen Passwörter in der Passwortdatenbank des Browsers speichern
• CVE-2008-0418:
  Deinstallation aller Chrome-Add-Ons, die als flat package vorliegen.
• CVE-2008-0419:
  Abschaltung von JavaScript
• CVE-2008-0591:
  Abschaltung von JavaScript
• CVE-2008-0592:
  Kein Workaround verfügbar
• CVE-2008-0593:
  Abschaltung von JavaScript
• CVE-2008-0594:
  Kein Workaround verfügbar

Gegenmaßnahmen
Installation der folgenden, aktuellen Versionen:

• CVE-2008-0413:
  
  • Firefox 2.0.0.12
  • Thunderbird 2.0.0.9
  • Seamonkey 1.1.8
  entweder direkt oder als Update der verschiedenen Distributoren.
• CVE-2008-0414:
  
  • Firefox 2.0.0.12
  • Seamonkey 1.1.8
  entweder direkt oder als Update der verschiedenen Distributoren.
• CVE-2008-0415:
  
  • Firefox 2.0.0.12
  • Thunderbird 2.0.0.9
  • Seamonkey 1.1.8
  entweder direkt oder als Update der verschiedenen Distributoren.
• CVE-2008-0417:
  
  • Firefox 2.0.0.12
  entweder direkt oder als Update der verschiedenen Distributoren.
• CVE-2008-0418:
  
  • Firefox 2.0.0.12
  • Thunderbird 2.0.0.9
  • Seamonkey 1.1.8
  entweder direkt oder als Update der verschiedenen Distributoren.
• CVE-2008-0419:
  
  • Firefox 2.0.0.12
  • Seamonkey 1.1.8
  entweder direkt oder als Update der verschiedenen Distributoren.
• CVE-2008-0591:
  
  • Firefox 2.0.0.12
  • Thunderbird 2.0.0.9
  entweder direkt oder als Update der verschiedenen Distributoren.
• CVE-2008-0592:
  
  • Firefox 2.0.0.12
  • Seamonkey 1.1.8
  entweder direkt oder als Update der verschiedenen Distributoren.
• CVE-2008-0593:
  
  • Firefox 2.0.0.12
  • Seamonkey 1.1.8
  entweder direkt oder als Update der verschiedenen Distributoren.
• CVE-2008-0594:
  
  • Firefox 2.0.0.12
  entweder direkt oder als Update der verschiedenen Distributoren.

Vulnerability ID

• CVE-2008-0413, MFSA 2008-01
• CVE-2008-0414, MFSA 2008-02
• CVE-2008-0415, MFSA 2008-03
• CVE-2008-0417, MFSA 2008-04
• CVE-2008-0418, MFSA 2008-05
• CVE-2008-0419, MFSA 2008-06
• CVE-2008-0591, MFSA 2008-08
• CVE-2008-0592, MFSA 2008-09
• CVE-2008-0593, MFSA 2008-10
• CVE-2008-0594, MFSA 2008-11

Revisionen dieser Meldung

• V 1.0 (2008-02-08): als Kurzmeldung veröffentlicht
• V 1.1 (2008-02-08): zur Vollmeldung erweitert

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/