In der neuen Version 2.0.0.15 des stark verbreiteten Webbrowsers Firefox, sowie des Mailprogrammes SeaMonkey 1.1.10 wurden insgesamt zwölf Schwachstellen beseitigt, die z.T. die Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem erlauben. Es wird empfohlen, so rasch wie möglich auf diese neue Version umzusteigen.

Inhalt

• Betroffene Systeme
• Nicht betroffene Systeme
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Gegenmaßnahmen
• Vulnerability ID
• Weitere Information zu diesem Thema

Betroffene Systeme

• CVE-2008-2798:
  
  • Firefox2 vor Version 2.0.0.15
  • SeaMonkey vor Version 1.1.10
• CVE-2008-2799:
  
  • Firefox2 vor Version 2.0.0.15
  • SeaMonkey vor Version 1.1.10
• CVE-2008-2800:
  
  • Firefox2 vor Version 2.0.0.15
  • SeaMonkey vor Version 1.1.10
• CVE-2008-2801:
  
  • Firefox2 vor Version 2.0.0.15
  • SeaMonkey vor Version 1.1.10
• CVE-2008-2802:
  
  • Firefox2 vor Version 2.0.0.15
  • SeaMonkey vor Version 1.1.10
• CVE-2008-2803:
  
  • Firefox2 vor Version 2.0.0.15
  • SeaMonkey vor Version 1.1.10
• CVE-2008-2805:
  
  • Firefox2 vor Version 2.0.0.15
  • SeaMonkey vor Version 1.1.10
• CVE-2008-2806:
  
  • Firefox2 vor Version 2.0.0.15 unter Apple Mac OS X
  • SeaMonkey vor Version 1.1.10 unter Apple Mac OS X
• CVE-2008-2807:
  
  • Firefox2 vor Version 2.0.0.15
  • SeaMonkey vor Version 1.1.10
• CVE-2008-2808:
  
  • Firefox2 vor Version 2.0.0.15
  • SeaMonkey vor Version 1.1.10
• CVE-2008-2809:
  
  • Firefox2 vor Version 2.0.0.15
  • SeaMonkey vor Version 1.1.10
• CVE-2008-2810:
  
  • Firefox2 vor Version 2.0.0.15 unter Microsoft Windows Betriebssystemen
  • SeaMonkey vor Version 1.1.10 unter Microsoft Windows Betriebssystemen
• CVE-2008-2811:
  
  • Firefox2 vor Version 2.0.0.15
  • SeaMonkey vor Version 1.1.10

Nicht betroffene Systeme

• CVE-2008-2798:
  
  • Firefox3
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2799:
  
  • Firefox3
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2800:
  
  • Firefox3
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2801:
  
  • Firefox3
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2802:
  
  • Firefox3
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2803:
  
  • Firefox3
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2805:
  
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2806:
  
  • Firefox3
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2807:
  
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2808:
  
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2809:
  
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2810:
  
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2811:
  
  • Firefox3
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10

Einfallstor

• CVE-2008-2798:
  speziell präparierter HTML-Code
• CVE-2008-2799:
  speziell präparierter JavaScript-Code
• CVE-2008-2800:
  speziell präparierter HTML-Code
• CVE-2008-2801:
  signiertes Java Archive (JAR)
• CVE-2008-2802:
  JavaScript
• CVE-2008-2803:
  JavaScript
• CVE-2008-2805:
  speziell präparierter HTML-Code
• CVE-2008-2806:
  Java Applet
• CVE-2008-2807:
  .properties-Datei
• CVE-2008-2808:
  URLs in Verzeichnisauflistungen
• CVE-2008-2809:
  selbst signierte X.509-Zertifikate (üblicherweise für Webserver)
• CVE-2008-2810:
  URL shortcut Dateien
• CVE-2008-2811:
  JavaScript

Angriffsvoraussetzung

• CVE-2008-2798:
  Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechend präparierte Webseite, E-Mail-Nachricht oder HTML-Datei betrachten
  (user interaction)
• CVE-2008-2799:
  Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechend präparierte Webseite, E-Mail-Nachricht oder HTML-Datei betrachten
  (user interaction)
• CVE-2008-2800:
  Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechend präparierte Webseite, E-Mail-Nachricht oder HTML-Datei betrachten
  (user interaction)
• CVE-2008-2801:
  Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss ein entsprechend präpariertes JAR laden
  (user interaction)
• CVE-2008-2802:
  Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechend präparierte Webseite, E-Mail-Nachricht oder HTML-Datei betrachten
  (user interaction)
• CVE-2008-2803:
  Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechend präparierte Webseite, E-Mail-Nachricht oder HTML-Datei betrachten
  (user interaction)
• CVE-2008-2805:
  Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende Webseite öffnen
  (user interaction)
• CVE-2008-2806:
  Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss ein entsprechendes Java Applet öffnen, bzw. seine Ausführung zulassen
  (user interaction)
• CVE-2008-2807:
  Möglichkeit, einem betroffenen System eine entsprechende .properties-Datei unterzuschieben
• CVE-2008-2808:
  Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende Verzeichnisauflistung öffnen
  (user interaction)
• CVE-2008-2809:
  Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss ein selbst signiertes X.509-Zertifikat als gültig und vertrauenswürdig akzeptieren
  (user interaction)
• CVE-2008-2810:
  Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechend präparierte URL shortcut Datei speichern und dann öffnen
  (user interaction)
• CVE-2008-2811:
  Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechend präparierte Webseite, E-Mail-Nachricht oder HTML-Datei betrachten
  (user interaction)

Angriffsvektorklasse

• CVE-2008-2798:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-2799:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-2800:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-2801:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-2802:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-2803:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-2805:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-2806:
  über eine Netzwerkverbindung (sofern das Applet dem Opfer per E-Mail oder über eine Webseite zugeleitet wird)
  (remote)
• CVE-2008-2807:
  lokal
  (local)
• CVE-2008-2808:
  über eine Netzwerkverbindung (sofern die Auflistung dem Opfer per E-Mail oder über eine Webseite zugeleitet wird)
  (remote)
• CVE-2008-2809:
  über eine Netzwerkverbindung (sofern das Zertifikat im Rahmen einer HTTPS-Verbindung dem Benutzer zugeleitet wird. Es kann auch in einer Datei z.B. via E-Mail kommen, die der Benutzer dann mit dem Browser öffnen muss)
  (remote)
• CVE-2008-2810:
  über eine Netzwerkverbindung (sofern die Datei dem Opfer per E-Mail oder über eine Webseite zugeleitet wird)
  (remote)
• CVE-2008-2811:
  über eine Netzwerkverbindung (sofern die Datei dem Opfer per E-Mail oder über eine Webseite zugeleitet wird)
  (remote)

Auswirkung

• CVE-2008-2798:
  Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem
  (user compromise)
• CVE-2008-2799:
  Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem
  (user compromise)
• CVE-2008-2800:
  Ausführung beliebigen Skript-Codes im Kontext einer fremden Seite
  (cross site scripting)
• CVE-2008-2801:
  Ausführung beliebigen JavaScript-Codes auf dem beherbergenden Rechnersystem mit den Privilegien der Webseite, von dem das JAR signiert wurde.
• CVE-2008-2802:
  Ausführung beliebigen JavaScript-Codes auf dem beherbergenden Rechnersystem mit den Privilegien des Mozilla-Prozesses (chrome)
  (user compromise)
  ()
• CVE-2008-2803:
  Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem
  (user compromise)
• CVE-2008-2805:
  automatisches Hochladen von Dateien auf dem beherbergenden System zum Webserver, von dem die entsprechende Seite kam.
  (information leak)
• CVE-2008-2806:
  Unautorisierte Etablierung von Netzwerkverbindungen zu beliebigen Adressen
  (other)
• CVE-2008-2807:
  Informationsleck
  (information leak)
• CVE-2008-2808:
  unvorhergesehene Interpretation der URLs mit verschiedenen Folgen, z.B. Unmöglichkeit der Öffnung des URLs
  (other)
• CVE-2008-2809:
  Vortäuschen einer vertrauenswürdigen Verbindung mit einem Webserver
  (other)
• CVE-2008-2810:
  Interpretation einer durch einen URL beschriebenen externen Ressource als lokale Datei mit den entsprechenden Möglichkeiten, die einer solchen Datei im Rahmen des lokalen Sicherheitskontextes unter Microsoft Windows Betriebssystemen zugesprochen werden.
  (other)
• CVE-2008-2811:
  Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des Firefox-, bzw. SeaMonkey-Prozesses
  (user compromise)

Typ der Verwundbarkeit

• CVE-2008-2798:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-2799:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-2800:
  (cross site scripting vulnerability)
• CVE-2008-2801:
  unbekannt
  (unknown)
• CVE-2008-2802:
  Implementierungsfehler
  (implementation flaw)
• CVE-2008-2803:
  Implementierungsfehler
  (implementation flaw)
• CVE-2008-2805:
  unbekannt
  (unknown)
• CVE-2008-2806:
  Entwurfsfehler
  (design flaw)
• CVE-2008-2807:
  unbekannt, vermutlich Pufferüberlaufschwachstelle
  (unknown)
• CVE-2008-2808:
  unbekannt
  (unknown)
• CVE-2008-2809:
  Entwurfsfehler
  (design flaw)
• CVE-2008-2810:
  Entwurfsfehler
  (design flaw)
• CVE-2008-2811:
  nicht bekannt

Gefahrenpotential

• CVE-2008-2798:
  hoch
• CVE-2008-2799:
  hoch
• CVE-2008-2800:
  mittel bis hoch
• CVE-2008-2801:
  mittel bis hoch
• CVE-2008-2802:
  hoch
• CVE-2008-2803:
  hoch
• CVE-2008-2805:
  mittel bis hoch
• CVE-2008-2806:
  mittel bis hoch
• CVE-2008-2807:
  mittel
• CVE-2008-2808:
  niedrig
• CVE-2008-2809:
  Je nach Anwendung mittel bis hoch
• CVE-2008-2810:
  mittel bis hoch
• CVE-2008-2811:
  hoch

Beschreibung

• CVE-2008-2798:
  Eine Pufferüberlaufschwachstellen in der Browserengine kann von einem Angreifer über eine entsprechend präparierte Webseite dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem mit den Privilegien des Browser-Prozesses auszuführen. Zur erfolgreichen Ausnutzung der Schwachstelle ist es lediglich erforderlich, dass das Opfer eine entsprechend präparierte Webseite mit einer verwundbaren Version von Firefox oder SeaMonkey betrachtet.
• CVE-2008-2799:
  Eine Pufferüberlaufschwachstellen in der JavaScript-Engine kann von einem Angreifer über eine entsprechend präparierte Webseite dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem mit den Privilegien des Browser-Prozesses auszuführen. Zur erfolgreichen Ausnutzung der Schwachstelle ist es lediglich erforderlich, dass das Opfer eine entsprechend präparierte Webseite mit einer verwundbaren Version von Firefox oder SeaMonkey betrachtet.
• CVE-2008-2800:
  Mehrere cross site scripting-Schwachstellen erlauben einem Angreifer, beliebigen Scriptcode aus einem entsprechend präparierten Dokument im Kontext eines anderen, ggf. vertrauenswürdigeren, Dokumentes auszuführen.
• CVE-2008-2801:
  Eine Schwachstelle in der Verarbeitung von signierten Java Archiven (JAR) kann von einem Angreifer dazu ausgenutzt werden, beliebigen JavaScript-Code in ein solches Archiv einzuschleusen, der in Folge mit dem Vertrauensstatus und Privilegien ausgeführt wird, die die Signatur des JAR indiziert.
• CVE-2008-2802:
  Ein Fehler in der Verarbeitung von URIs gemäß ihrer Qualität kann von einem Angreifer durch das Bereitstellen einer entsprechend formulierten Webseite dazu ausgenutzt werden, beliebigen JavaScript-Code auf dem beherbergenden Rechnersystem auszuführen.
• CVE-2008-2803:
  Ein Fehler in der Verarbeitung von URIs gemäß ihrer Qualität kann von einem Angreifer durch das Bereitstellen einer entsprechend formulierten Webseite dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen.
• CVE-2008-2805:
  Ein nicht näher spezifizierter Fehler kann von einem Angreifer durch das Bereitstellen einer entsprechend präparierten Webseite dazu ausgenutzt werden, den Browser dazu zu veranlassen, beliebige Dateien auf dem beherbergenden Rechnersystem auf den Webserver zu laden. Die Dateien müssen dabei mit den Privilegien des Webbrowser-Prozesses lesbar sein. Dies können potentiell sensitive Dateien sein.
• CVE-2008-2806:
  Durch einen Fehler in der Deklaration der Herkunft eines Java Applets an das Java Embedding Plugin (JEP) in Mozilla für Mac OS X, kann ein entsprechendes Java Applet das sama origin-Prinzip durchbrechen und Verbindungen zu beliebigen IP-Adressen (bzw. DNS-Adressen) öffnen, die im gleichen Kontext wie das Java Applet behandelt werden.
• CVE-2008-2807:
  Eine Schwachstelle in der Verarbeitung von .properties-Dateien kann von einem Angreifer dazu ausgenuzt werden, uninitalisierten Speicher auszulesen und die Information, die eine vorher diesen Speicher belegende Applikation dort abgelegt wurde ausspähen. Dies kann potentiell sensitive Information sein.
• CVE-2008-2808:
  Ein Fehler in der Verarbeitung verschiedener Zeichen führt dazu, dass URLs in Verzeichnisauflistungen, die diese Zeichen enthalten, nicht korrekt aufgelöst werden und daher in nicht vorhergesehener Weise geöffnet oder geöffnet werden können.
• CVE-2008-2809:
  Firefox2 vor der Version 2.0.0.15 hat ein sehr einfaches Vertrauensmodell bei der Verarbeitung von selbst signierten kryptographischen X.509-Zertifikaten, die gerne zur leichten Einführung von HTTPS auf Webservern erzeugt werden. In diesem Modell wird dem Benutzer das fragliche Zertifikat einmalig zur Inspektion gezeigt, um es von ihm akzeptieren oder ablehnen zu lassen. Wenn der Benutzer es dauerhaft akzeptiert, wird es in der internen Datenbank des Browsers für immer als vertrauenswürdig markiert und abgelegt. Das Dialogfenster zeigt jedoch keine eventuell im Zertifikat enthaltenen Alternative Names an, so dass diese quasi blind mit-akzeptiert werden.

  Dieser Umstand kann von einem Angreifer dazu ausgenutzt werden, ein Zertifikat einem Benutzer über einen harmlosen Webserver unterzuschieben, das einen Alternative Name auf einen gefährlichen URL enthält, zu dem Verbindungen dann automatisch ebenfalls als vertrauenswürdig eingestuft werden, da das entsprechende Zertifikat in der Datenbank des Browsers enthalten und vertrauenswürdig ist.

• CVE-2008-2810:
  Unter Microsoft Windows Betriebssystemen existiert die Möglichkeit, sogenannte URL shortcut files anzulegen, die bei Öffnung mittels eines Browsers die durch den in der Datei enthaltenen URL beschriebene Ressource öffnet. Firefox und SeaMonkey stellen zwar nicht die Funktionalität bereit solche Dateien zu erzeugen, verarbeiten sie jedoch unter Windows. Eine Schwachstelle in der Verarbeitung dieser Dateien führt dazu, dass durch solche referenzierte externe Ressourcen wie lokale Dateien behandelt werden. So werden dann ggf. externe Skripten oder Programme ohne weitere Sicherheitsprüfung oder -nachfrage ausgeführt.
• CVE-2008-2811:
  Eine Schwachstelle im block reflow-Code von Firefox2 vor der Version 2.0.0.15 bzw. SeaMonkey vor der Version 1.1.10 kann durch einen Angreifer dazu ausgenutzt werden, mittels entsprechend präparieren JavaScript-Codes die Applikation zum Absturz zu bringen oder beliebigen Programmcode mit den Privilegien des entsprechenden Prozesses auf dem beherbergenden Rechnersystem auszuführen.

Workaround

• CVE-2008-2798:
  kein Workaround verfügbar
• CVE-2008-2799:
  ein Workaround verfügbar
• CVE-2008-2800:
  Abschaltung von JavaScript
• CVE-2008-2801:
  Abschaltung von JavaScript
• CVE-2008-2802:
  Abschaltung von JavaScript
• CVE-2008-2803:
  Abschaltung von JavaScript
• CVE-2008-2805:
  kein Workaround verfügbar
• CVE-2008-2806:
  Abschaltung von Java
• CVE-2008-2807:
  kein Workaround verfügbar
• CVE-2008-2808:
  kein Workaround verfügbar
• CVE-2008-2809:
  kein Workaround verfügbar
• CVE-2008-2810:
  kein Workaround verfügbar
• CVE-2008-2811:
  Abschaltung von JavaScript

Gegenmaßnahmen

• CVE-2008-2798:
  Installation von
  • Firefox 3
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2799:
  Installation von
  • Firefox 3
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2800:
  Installation von
  • Firefox 3
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2801:
  Installation von
  • Firefox 3
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2802:
  Installation von
  • Firefox 3
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2803:
  Installation von
  • Firefox 3
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2805:
  Installation von
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2806:
  Installation von
  • Firefox 3
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2807:
  Installation von
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2808:
  Installation von
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2809:
  Installation von
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2810:
  Installation von
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10
• CVE-2008-2811:
  Installation von
  • Firefox 3
  • Firefox 2.0.0.15
  • SeaMonkey 1.1.10

Vulnerability ID

• CVE-2008-2798
• CVE-2008-2799
• CVE-2008-2800
  
• CVE-2008-2801
  
• CVE-2008-2802
  
• CVE-2008-2803
  
• CVE-2008-2805
  
• CVE-2008-2806
  
• CVE-2008-2807
  
• CVE-2008-2808
  
• CVE-2008-2809
  
• CVE-2008-2810
  
• CVE-2008-2811
  

Weitere Information zu diesem Thema

• CVE-2008-2798, CVE-2008-2799:
  Mozilla Foundation Security Advisory 2008-21
• CVE-2008-2800:
  Mozilla Foundation Security Advisory 2008-22
• CVE-2008-2801:
  Mozilla Foundation Security Advisory 2008-23
• CVE-2008-2802:
  Mozilla Foundation Security Advisory 2008-24
• CVE-2008-2803:
  Mozilla Foundation Security Advisory 2008-25
• CVE-2008-2805:
  Mozilla Foundation Security Advisory 2008-27
• CVE-2008-2806:
  Mozilla Foundation Security Advisory 2008-28
• CVE-2008-2807:
  Mozilla Foundation Security Advisory 2008-29
• CVE-2008-2808:
  Mozilla Foundation Security Advisory 2008-30
• CVE-2008-2809:
  Mozilla Foundation Security Advisory 2008-31
• CVE-2008-2810:
  Mozilla Foundation Security Advisory 2008-32
• CVE-2008-2811:
  Mozilla Foundation Security Advisory 2008-33

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/