Mehrere Schwachstellen im verbreiteten Webbrowser Firefox, können von einem Angreifer dazu ausgenutzt werden, Programmcode auf dem beherbergenden System auszuführen, ausführbaren Code in angezeigte Seiten einzuschleusen (cross-site scripting) oder beliebige Dateien oder Cookies auszulesen. Die Schwachstellen betreffen z.T. auch Thunderbird und Seamonkey.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Nicht betroffene Systeme
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Workaround
• Gegenmaßnahmen
• Vulnerability ID

Zusammenfassung

• CVE-2009-0352:

  Betroffen:	Firefox 3.0.5, Thunderbird 2.0.0.19, SeaMonkey 1.1.14 und jeweils frühere Versionen
  Nicht betroffen:	Firefox 3.0.6, Thunderbird 2.0.0.21, SeaMonkey 1.1.15
  Einfallstor:	JavaScript
  Angriffsvoraussetzung:	Benutzerinteraktion
  Angriffsvektorklasse:	remote
  Auswirkung:	user compromise
  Typ:	buffer overflow bug
  Gefahrenpotential:	hoch
  Workaround:	ja
  Gegenmaßnahmen:	neue Version
  Vulnerability ID:	CVE-2009-0352

  
  
  
• CVE-2009-0354:

  Betroffen:	Firefox 3.0.5 und frühere Versionen
  Nicht betroffen:	Firefox 3.0.6
  Einfallstor:	JavaScript
  Angriffsvoraussetzung:	Benutzerinteraktion
  Angriffsvektorklasse:	remote
  Auswirkung:	Ausführung von JavaScript-Code im Kontext einer anderen Webseite (XSS)
  Typ:	cross site scripting vulnerability
  Gefahrenpotential:	mittel bis hoch
  Workaround:	ja
  Gegenmaßnahmen:	neue Version
  Vulnerability ID:	CVE-2009-0354

  
  
  
• CVE-2009-0355:

  Betroffen:	Firefox 3.0.5 und frühere Versionen
  Nicht betroffen:	Firefox 3.0.6
  Einfallstor:	JavaScript
  Angriffsvoraussetzung:	Benutzerinteraktion
  Angriffsvektorklasse:	remote
  Auswirkung:	Auslesen von Dateien des beherbergenden Systems (information leak)
  Typ:	Entwurfsfehler
  Gefahrenpotential:	mittel bis hoch
  Workaround:	bedingt
  Gegenmaßnahmen:	neue Version
  Vulnerability ID:	CVE-2009-0355

  
  
  
• CVE-2009-0356:

  Betroffen:	Firefox 3.0.5 und frühere Versionen
  Nicht betroffen:	Firefox 3.0.6
  Einfallstor:	.url shortcut file
  Angriffsvoraussetzung:	Benutzerinteraktion
  Angriffsvektorklasse:	remote
  Auswirkung:	user compromise
  Typ:	Entwurfsfehler
  Gefahrenpotential:	hoch
  Workaround:	bedingt
  Gegenmaßnahmen:	neue Version
  Vulnerability ID:	CVE-2009-0356

  
  
  
• CVE-2009-0357:

  Betroffen:	Firefox 3.0.5, SeaMonkey 1.1.14 und jeweils frühere Versionen
  Nicht betroffen:	Firefox 3.0.6, SeaMonkey 1.1.15
  Einfallstor:	Cookies, JavaScript
  Angriffsvoraussetzung:	Benutzerinteraktion
  Angriffsvektorklasse:	remote
  Auswirkung:	Auslesen fremder Cookies (information leak)
  Typ:	Implementierungsfehler
  Gefahrenpotential:	niedrig
  Workaround:	bedingt
  Gegenmaßnahmen:	neue Version
  Vulnerability ID:	CVE-2009-0357

  
  
  
• CVE-2009-0358:

  Betroffen:	Firefox 3.0.5
  Nicht betroffen:	Firefox 3.0.6
  Einfallstor:	Browsercache
  Angriffsvoraussetzung:	Zugriff durch mehrere Personen auf dasselbe Benutzerkonto
  Angriffsvektorklasse:	lokal
  Auswirkung:	information leak
  Typ:	Implementierungsfehler
  Gefahrenpotential:	niedrig
  Workaround:	ja
  Gegenmaßnahmen:	neue Version
  Vulnerability ID:	CVE-2009-0358

  
  
  

Betroffene Systeme

• CVE-2009-0352:
  
  • Firefox 3.0.5 und frühere Versionen
  • Thunderbird 2.0.0.19 und frühere Versionen
  • SeaMonkey 1.1.14 und frühere Versionen
• CVE-2009-0354:
  
  • Firefox 3.0.5 und frühere Versionen
• CVE-2009-0355:
  
  • Firefox 3.0.5 und frühere Versionen
• CVE-2009-0356:
  
  • Firefox 3.0.5 und frühere Versionen
• CVE-2009-0357:
  
  • Firefox 3.0.5 und frühere Versionen
  • SeaMonkey 1.1.14 und frühere Versionen
• CVE-2009-0358:
  
  • Firefox 3.0.5 und frühere Versionen

Nicht betroffene Systeme

• CVE-2009-0352:
  
  • Firefox 3.0.6
  • Thunderbird 2.0.0.21
  • SeaMonkey 1.1.15
• CVE-2009-0354:
  
  • Firefox 3.0.6
• CVE-2009-0355:
  
  • Firefox 3.0.6
• CVE-2009-0356:
  
  • Firefox 3.0.6
• CVE-2009-0357:
  
  • Firefox 3.0.6
  • SeaMonkey 1.1.15
• CVE-2009-0358:
  
  • Firefox 3.0.6

Einfallstor

• CVE-2009-0352:
  JavaScript, z.B. über eine entsprechende Webseite oder HTML-E-Mail-Nachricht
• CVE-2009-0354:
  JavaScript, z.B. über eine entsprechende Webseite oder HTML-E-Mail-Nachricht
• CVE-2009-0355:
  input control in einem restaurierten Tab
• CVE-2009-0356:
  URL shortcut Dateien und speziell präparierte HTML-Dateien
• CVE-2009-0357:
  JavaScript, z.B. über eine entsprechende Webseite oder HTML-E-Mail-Nachricht
• CVE-2009-0358:
  der Browsercache eines betroffenen Systems

Angriffsvoraussetzung

• CVE-2009-0352:
  Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechende Webseite zu besuchen oder HTML-Seite zu betrachten.
  (user interaction)
• CVE-2009-0354:
  Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechende Webseite zu besuchen oder HTML-Seite zu betrachten.
  (user interaction)
• CVE-2009-0355:
  
  • Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechende Webseite in einem Tab zu öffnen, dann zu einem anderen Tab zu wechseln und wieder zum ersten Tab zurückzukehren.
    (user interaction)
  • Ferner muss der Dateipfad zu der Datei, die auf dem betroffenen System ausgelesen werden soll, bekannt sein.
• CVE-2009-0356:
  
• Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechende URL shortcut sowie eine entsprechend präparierte HTML-Datei zu öffnen. Beide können dem Opfer über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden.
  (user interaction)
• CVE-2009-0357:
  Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechende Webseite zu besuchen oder HTML-Seite zu betrachten.
  (user interaction)
• CVE-2009-0358:
  Die Schwachstelle wird dann zum Problem, wenn mehr als eine Person auf den Cache des Browsers Zugriff hat. (shared data)

Angriffsvektorklasse

• CVE-2009-0352:
  über eine Netzwerkverbindung
  (remote)
• CVE-2009-0354:
  über eine Netzwerkverbindung
  (remote)
• CVE-2009-0355:
  über eine Netzwerkverbindung
  (remote)
• CVE-2009-0356:
  über eine Netzwerkverbindung
  (remote)
• CVE-2009-0357:
  über eine Netzwerkverbindung
  (remote)
• CVE-2009-0358:
  Lokal auf einem betroffenen System
  (local)

Auswirkung

• CVE-2009-0352:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des Anwendungsprozesses
  (user compromise)
• CVE-2009-0354:
  Ausführung von JavaScript-Code im Kontext einer anderen Webseite
  (cross site scripting)
• CVE-2009-0355:
  Auslesen beliebiger Dateien auf dem beherbergenden System, für die der angegriffene Benutzer Leserechte besitzt.
  (information leak)
• CVE-2009-0356:
  Ausführung beliebigen Script-Codes auf dem beherbergenden System mit den Privilegien des Mozilla-Prozesses (chrome-Privilegien)
  (user compromise)
• CVE-2009-0357:
  Auslesen beliebiger Cookies eines betroffenen Systems
  (information leak)
• CVE-2009-0358:
  Unerwünschtes Cachen von Seiten

Typ der Verwundbarkeit

• CVE-2009-0352:
  unbekannt, vermutlich Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2009-0354:
  
  (cross site scripting vulnerability)
• CVE-2009-0355:
  Entwurfsfehler
  (design flaw)
• CVE-2009-0356:
  Entwurfsfehler
  (design flaw)
• CVE-2009-0357:
  Implementierungsfehler
  (implementation flaw)
• CVE-2009-0358:
  Implementierungsfehler
  (implementation flaw)

Gefahrenpotential

• CVE-2009-0352:
  hoch
• CVE-2009-0354:
  mittel bis hoch
• CVE-2009-0355:
  mittel bis hoch
• CVE-2009-0356:
  hoch
• CVE-2009-0357:
  niedrig
• CVE-2009-0358:
  niedrig

Beschreibung

• CVE-2009-0352:
  Eine nicht näher beschriebene Schwachstelle in der Browser-Engine kann von einem Angreifer unter Umständen dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des die betroffene Anwendung verwendenden Benutzers auf dem beherbergenden System auszuführen. Die Schwachstelle tritt bei der Verarbeitung von JavaScript-Code auf.
  Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer einen Benutzer eines betroffenen Systems dazu veranlasst, eine entsprechende Webseite zu besuchen oder eine entsprechend präparierte HTML-Seite oder -E-Mail-Nachricht zu öffnen.
• CVE-2009-0354:
  Eine cross site scripting-Schwachstelle erlaubt einem Angreifer, beliebigen JavaScript-Code aus einem entsprechend präparierten Dokument im Kontext eines anderen, ggf. vertrauenswürdigeren, Dokumentes auszuführen.
• CVE-2009-0355:
  Ein Entwurfsfehler in der Verwaltung von Registerkarten (Tabs) kann von einem Angreifer dazu ausgenutzt werden, eine beliebige Datei des beherbergenden Systems auszulesen, solange ihm der Dateipfad bekannt ist. Die Schwachstelle ermöglicht einem Angreifer, auf einer Seite, die das Opfer öffnen muss, ein text input control, in das er den Pfad der auszulesenden Datei einträgt, beim Wiederherstellen des beherbergenden Tabs in ein file input control umzuwandeln. Ein auf derselben Seite enthaltenes Skript wäre dann in der Lage, bei seiner Ausführung, die durch den Pfad bezeichnete Datei auszulesen und an den Webserver zu senden.
  Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer einen Benutzer eines betroffenen Systems dazu veranlasst, eine entsprechende Webseite zu besuchen oder eine entsprechend präparierte HTML-Seite oder -E-Mail-Nachricht zu öffnen.
• CVE-2009-0356:
  Ein mit dem Mozilla Foundation Security Advisory 2008-47 veröffentlichter Patch kann umgangen werden und von einem Angreifer dazu ausgenutzt werden, beliebigen Script-Code mit chrome auf dem beherbergenden System auszuführen. Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer einen Benutzer eines betroffenen Systems dazu veranlasst, eine entsprechende Webseite zu besuchen oder eine entsprechend präparierte HTML-Seite oder -E-Mail-Nachricht sowie eine URL shortcut-Datei zu öffnen.
• CVE-2009-0357:
  Ein Implementierungsfehler ermöglicht Angreifern, beliebige Cookies auf dem beherbergenden System mittels JavaScript-Code auszulesen, selbst wenn diese als HTTPOnly markiert sind. So lässt sich so durch den Angreifer leicht ein Profil des Benutzers erstellen, da in Erfahrung zu bringen ist, welche Seiten das Opfer besucht hat.
  Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer einen Benutzer eines betroffenen Systems dazu veranlasst, eine entsprechende Webseite zu besuchen oder eine entsprechend präparierte HTML-Seite oder -E-Mail-Nachricht zu öffnen.
• CVE-2009-0358:
  Ein Implementierungsfehler in den betroffenen Firefox-Versionen führt dazu, dass bestimmte HTTP-Direktiven, die dazu gedacht sind, den Browser anzuweisen, bestimmte Seiten nicht zu cachen (Cache-Control: no-store und Cache-Control: no-cache für HTTPS-Seiten) durch die betroffenen Versionen von Firefox 3 nicht ausgewertet werden. Dies kann auf Systemen, auf denen mehrere Personen Zugriff auf den Cache des Browsers haben, dazu führen, dass diese unerwünschterweise von potentiell vertraulichen Daten zu den besuchten Seiten Kenntnis nehmen können. Klassischerweise werden die Direktiven z.B. für Seiten verwendet, in denen Formulardaten abgelegt werden oder die Information zur Sitzungskontrolle enthalten. Diese Daten können durch diese Schwachstelle exponiert werden.

Workaround

• CVE-2009-0352:
  Deaktivierung von JavaScript
• CVE-2009-0354:
  Deaktivierung von JavaScript
• CVE-2009-0355:
  Deaktivierung von JavaScript und aller anderer aktiver Inhalte
• CVE-2009-0356:
  Deaktivierung von JavaScript und aller anderer aktiver Inhalte
• CVE-2009-0357:
  
  • Deaktivierung von JavaScript
  • Deaktivierung von Cookies
• CVE-2009-0358:
  Löschen des Caches nach Beendigung einer Sitzung.

Gegenmaßnahmen

• CVE-2009-0352:
  
  • Installation bzw. Upgrade auf Firefox 3.0.6
  • Installation bzw. Upgrade auf Thunderbird 2.0.0.21, sobald verfügbar
  • Installation bzw. Upgrade auf SeaMonkey 1.1.15, sobald verfügbar
• CVE-2009-0354:
  
  • Installation bzw. Upgrade auf Firefox 3.0.6
• CVE-2009-0355:
  
  • Installation bzw. Upgrade auf Firefox 3.0.6
• CVE-2009-0356:
  
  • Installation bzw. Upgrade auf Firefox 3.0.6
• CVE-2009-0357:
  
  • Installation bzw. Upgrade auf Firefox 3.0.6
  • Installation bzw. Upgrade auf SeaMonkey 1.1.15, sobald verfügbar
• CVE-2009-0358:
  
  • Installation bzw. Upgrade auf Firefox 3.0.6

Vulnerability ID

• CVE-2009-0352
• CVE-2009-0354
• CVE-2009-0355
• CVE-2009-0356
• CVE-2009-0357
• CVE-2009-0358

Weitere Information zu diesem Thema

• CVE-2009-0352:
  Mozilla Foundation Security Advisory 2009-01
• CVE-2009-0354:
  Mozilla Foundation Security Advisory 2009-02
• CVE-2009-0355:
  Mozilla Foundation Security Advisory 2009-03
• CVE-2009-0356:
  Mozilla Foundation Security Advisory 2009-04
• CVE-2009-0357:
  Mozilla Foundation Security Advisory 2009-05
• CVE-2009-0358:
  Mozilla Foundation Security Advisory 2009-06

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/