Das BSI hat einen aktuellen IT-Sicherheitshinweis für Mozilla Firefox herausgegeben. Mehr über die betroffenen Betriebssysteme und Produkte sowie CVE-Nummern erfahren Sie hier auf news.de.
Suche
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 30.05.2023 ein Update zu einer am 15.02.2023 bekanntgewordenen Sicherheitslücke für Mozilla Firefox herausgegeben. Betroffen von der Sicherheitslücke sind die Betriebssysteme UNIX, Linux, MacOS X, Windows, Android und iPhoneOS sowie die Produkte Open Source CentOS, Debian Linux, Amazon Linux 2, NetApp ActiveIQ Unified Manager, Red Hat Enterprise Linux, Ubuntu Linux, SUSE Linux, Oracle Linux, Gentoo Linux, Xerox FreeFlow Print Server, Mozilla Firefox, Mozilla Firefox ESR, Red Hat Virtualization und IGEL OS.
Die neuesten Hersteller-Empfehlungen bezüglich Updates, Workarounds und Sicherheitspatches für diese Sicherheitslücke finden Sie hier: Gentoo Linux Security Advisory GLSA-202305-35 (Stand: 30.05.2023). Weitere nützliche Links werden weiter unten in diesem Artikel aufgeführt.
Sicherheitshinweis für Mozilla Firefox - Risiko: hoch
Risikostufe: 4 (hoch)
CVSS Base Score: 8,8
CVSS Temporal Score: 7,7
Remoteangriff: Ja
Zur Bewertung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird das Common Vulnerability Scoring System (CVSS) angewandt. Der CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken auf Basis verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Einleitung von Gegenmaßnahmen zu erstellen. Für die Schweregrade einer Schwachstelle werden die Attribute "keine", "niedrig", "mittel", "hoch" und "kritisch" verwendet. Der Base Score bewertet die Voraussetzungen für einen Angriff (u.a. Authentifizierung, Komplexität, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Temporal Score fließen über die Zeit veränderbare Rahmenbedingungen in die Bewertung ein. Die Gefährdung der aktuellen Schwachstelle wird nach dem CVSS mit einem Base Score von 8,8 als "hoch" eingestuft.
Mozilla Firefox Bug: Mehrere Schwachstellen ermöglichen Codeausführung
Firefox ist ein Open Source Web Browser. ESR ist die Variante mit verlängertem Support.
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Mozilla Firefox und Mozilla Firefox ESR ausnutzen, um Code auszuführen, Sicherheitsmechanismen zu umgehen, den Benutzer zu täuschen, Informationen offenzulegen und andere unbekannte Effekte zu erzielen.
Klassifiziert wurden die Schwachstellen mithilfe des CVE-Referenziersystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2023-0767, CVE-2023-25728, CVE-2023-25729, CVE-2023-25730, CVE-2023-25731, CVE-2023-25732, CVE-2023-25733, CVE-2023-25734, CVE-2023-25735, CVE-2023-25736, CVE-2023-25737, CVE-2023-25738, CVE-2023-25739, CVE-2023-25740, CVE-2023-25741, CVE-2023-25742, CVE-2023-25743, CVE-2023-25744, CVE-2023-25745 und CVE-2023-25746.
Von der Sicherheitslücke betroffene Systeme im Überblick
Betriebssysteme
UNIX, Linux, MacOS X, Windows, Android, iPhoneOS
Produkte
Open Source CentOS (cpe:/o:centos:centos)
Debian Linux (cpe:/o:debian:debian_linux)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
NetApp ActiveIQ Unified Manager (cpe:/a:netapp:active_iq_unified_manager)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
Gentoo Linux (cpe:/o:gentoo:linux)
Xerox FreeFlow Print Server v2 (cpe:/a:xerox:freeflow_print_server)
Mozilla Firefox < 110 (cpe:/a:mozilla:firefox)
Mozilla Firefox ESR < 102.8 (cpe:/a:mozilla:firefox_esr)
Red Hat Virtualization 4 (cpe:/a:redhat:virtualization)
IGEL OS < 11.08.290 (cpe:/o:igel:os)
Red Hat Enterprise Linux Multicluster Engine (cpe:/o:redhat:enterprise_linux)
Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen
- Anwender der betroffenen Systeme sollten diese auf dem aktuellsten Stand halten. Hersteller sind bei Bekanntwerden von Sicherheitslücken dazu angehalten, diese schnellstmöglich durch Entwicklung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie diese zeitnah.
- Konsultieren Sie zu Informationszwecken die im nächsten Abschnitt aufgeführten Quellen. Häufig enthalten diese weiterführende Informationen zur aktuellsten Version der betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
- Wenden Sie sich bei weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.
Quellen zu Updates, Patches und Workarounds
An dieser Stelle finden Sie weiterführende Links mit Informationen über Bug-Reports, Security-Fixes und Workarounds.
Gentoo Linux Security Advisory GLSA-202305-35 vom 2023-05-30 (30.05.2023)
Weitere Informationen finden Sie unter: https://security.gentoo.org/glsa/202305-35
Amazon Linux Security Advisory ALAS-2023-1736 vom 2023-05-04 (05.05.2023)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/ALAS-2023-1736.html
Red Hat Security Advisory RHSA-2023:2098 vom 2023-05-03 (04.05.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:2098
Red Hat Security Advisory RHSA-2023:1677 vom 2023-04-15 (17.04.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:1677
Oracle Linux Security Advisory ELSA-2023-12238 vom 2023-04-06 (11.04.2023)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2023-12238.html
Red Hat Security Advisory RHSA-2023:1479 vom 2023-03-27 (28.03.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:1479
NetApp Security Advisory NTAP-20230324-0008 vom 2023-03-24 (27.03.2023)
Weitere Informationen finden Sie unter: https://security.netapp.com/advisory/ntap-20230324-0008/
Red Hat Security Advisory RHSA-2023:1436 vom 2023-03-23 (24.03.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:1436
IGEL Security Notice ISN-2023-02 vom 2023-03-22 (23.03.2023)
Weitere Informationen finden Sie unter: https://kb.igel.com/securitysafety/en/isn-2023-02-firefox-esr-vulnerabilities-81501314.html
Red Hat Security Advisory RHSA-2023:1406 vom 2023-03-22 (23.03.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:1406
XEROX Security Advisory XRX23-002 vom 2023-03-23 (23.03.2023)
Weitere Informationen finden Sie unter: https://security.business.xerox.com/wp-content/uploads/2023/03/Xerox-Security-Bulletin-XRX23-002-FreeFlow-Print-Server-v2_Windows10.pdf
CentOS Security Advisory CESA-2023:1332 vom 2023-03-22 (23.03.2023)
Weitere Informationen finden Sie unter: https://lists.centos.org/pipermail/centos-announce/2023-March/086393.html
Oracle Linux Security Advisory ELSA-2023-1368 vom 2023-03-22 (22.03.2023)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2023-1368.html
Red Hat Security Advisory RHSA-2023:1365 vom 2023-03-21 (22.03.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:1365
Red Hat Security Advisory RHSA-2023:1369 vom 2023-03-21 (22.03.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:1369
Red Hat Security Advisory RHSA-2023:1366 vom 2023-03-21 (22.03.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:1366
Red Hat Security Advisory RHSA-2023:1368 vom 2023-03-21 (22.03.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:1368
Red Hat Security Advisory RHSA-2023:1370 vom 2023-03-21 (22.03.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:1370
Amazon Linux Security Advisory ALAS-2023-1992 vom 2023-03-22 (22.03.2023)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2023-1992.html
Oracle Linux Security Advisory ELSA-2023-1332 vom 2023-03-20 (21.03.2023)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2023-1332.html
Red Hat Security Advisory RHSA-2023:1332 vom 2023-03-20 (21.03.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:1332
Oracle Linux Security Advisory ELSA-2023-1252 vom 2023-03-15 (16.03.2023)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2023-1252.html
Red Hat Security Advisory RHSA-2023:1252 vom 2023-03-15 (16.03.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:1252
Ubuntu Security Notice USN-5892-2 vom 2023-03-06 (07.03.2023)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5892-2
Ubuntu Security Notice USN-5880-2 vom 2023-03-01 (01.03.2023)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5880-2
Ubuntu Security Notice USN-5892-1 vom 2023-02-27 (28.02.2023)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5892-1
CentOS Security Advisory CESA-2023:0812 vom 2023-02-22 (23.02.2023)
Weitere Informationen finden Sie unter: https://lists.centos.org/pipermail/centos-announce/2023-February/086376.html
SUSE Security Update SUSE-SU-2023:0469-1 vom 2023-02-21 (22.02.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-February/013850.html
SUSE Security Update SUSE-SU-2023:0468-1 vom 2023-02-21 (22.02.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-February/013851.html
SUSE Security Update SUSE-SU-2023:0466-1 vom 2023-02-21 (22.02.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-February/013858.html
SUSE Security Update SUSE-SU-2023:0466-1 vom 2023-02-21 (22.02.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-February/013853.html
Oracle Linux Security Advisory ELSA-2023-0808 vom 2023-02-20 (21.02.2023)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2023-0808.html
Oracle Linux Security Advisory ELSA-2023-0810 vom 2023-02-21 (21.02.2023)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2023-0810.html
Oracle Linux Security Advisory ELSA-2023-0812 vom 2023-02-21 (21.02.2023)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2023-0812.html
Debian Security Advisory DLA-3327 vom 2023-02-20 (21.02.2023)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2023/02/msg00021.html
SUSE Security Update SUSE-SU-2023:0461-1 vom 2023-02-20 (21.02.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-February/013843.html
Red Hat Security Advisory RHSA-2023:0807 vom 2023-02-20 (20.02.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0807
Red Hat Security Advisory RHSA-2023:0808 vom 2023-02-20 (20.02.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0808
Red Hat Security Advisory RHSA-2023:0810 vom 2023-02-20 (20.02.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0810
Red Hat Security Advisory RHSA-2023:0811 vom 2023-02-20 (20.02.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0811
Red Hat Security Advisory RHSA-2023:0806 vom 2023-02-20 (20.02.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0806
Red Hat Security Advisory RHSA-2023:0809 vom 2023-02-20 (20.02.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0809
Red Hat Security Advisory RHSA-2023:0805 vom 2023-02-20 (20.02.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0805
Red Hat Security Advisory RHSA-2023:0812 vom 2023-02-20 (20.02.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0812
Debian Security Advisory DSA-5353 vom 2023-02-18 (20.02.2023)
Weitere Informationen finden Sie unter: https://www.debian.org/security/2023/dsa-5353
SUSE Security Update SUSE-SU-2023:0443-1 vom 2023-02-17 (20.02.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-February/013833.html
Ubuntu Security Notice USN-5880-1 vom 2023-02-20 (20.02.2023)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-5880-1
Debian Security Advisory DLA-3319 vom 2023-02-16 (17.02.2023)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2023/02/msg00013.html
SUSE Security Update SUSE-SU-2023:0434-1 vom 2023-02-16 (16.02.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-February/013802.html
Debian Security Advisory DSA-5350 vom 2023-02-15 (16.02.2023)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-security-announce/2023/msg00039.html
Mozilla Foundation Security Advisory vom 2023-02-14 (15.02.2023)
Weitere Informationen finden Sie unter: https://www.mozilla.org/en-US/security/advisories/mfsa2023-06/
Mozilla Foundation Security Advisory vom 2023-02-14 (15.02.2023)
Weitere Informationen finden Sie unter: https://www.mozilla.org/en-US/security/advisories/mfsa2023-05/
Versionshistorie dieser Sicherheitswarnung
Dies ist die 22. Version des vorliegenden IT-Sicherheitshinweises für Mozilla Firefox. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie anhand der folgenden Versionshistorie nachvollziehen.
15.02.2023 - Initiale Fassung
16.02.2023 - Neue Updates von Debian aufgenommen
17.02.2023 - Neue Updates von Debian aufgenommen
20.02.2023 - Neue Updates von Ubuntu, SUSE und Debian aufgenommen
21.02.2023 - Neue Updates von SUSE, Debian und Oracle Linux aufgenommen
22.02.2023 - Neue Updates von SUSE aufgenommen
23.02.2023 - Neue Updates von CentOS aufgenommen
28.02.2023 - Neue Updates von Ubuntu aufgenommen
01.03.2023 - Neue Updates von Ubuntu aufgenommen
07.03.2023 - Neue Updates von Ubuntu aufgenommen
16.03.2023 - Neue Updates von Oracle Linux und Red Hat aufgenommen
21.03.2023 - Neue Updates von Oracle Linux und Red Hat aufgenommen
22.03.2023 - Neue Updates von Oracle Linux, Red Hat und Amazon aufgenommen
23.03.2023 - Neue Updates von IGEL, Red Hat, XEROX und CentOS aufgenommen
24.03.2023 - Neue Updates von Red Hat aufgenommen
27.03.2023 - Neue Updates von NetApp aufgenommen
28.03.2023 - Neue Updates von Red Hat aufgenommen
11.04.2023 - Neue Updates von Oracle Linux aufgenommen
17.04.2023 - Neue Updates von Red Hat aufgenommen
04.05.2023 - Neue Updates von Red Hat aufgenommen
05.05.2023 - Neue Updates von Amazon aufgenommen
30.05.2023 - Neue Updates von Gentoo aufgenommen
+++ Redaktioneller Hinweis: Dieser Text wurde auf Basis aktueller BSI-Daten KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter hinweis@news.de entgegen. +++
Folgen Sie News.de schon bei Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Draht zur Redaktion.
roj/news.de