ISN 2024-03: Sicherheitslücken in Firefox ESR

Erstveröffentlichung am 31. Januar 2024

CVSS 3.1: 8.8 (hoch)

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Zusammenfassung

Im Firefox ESR Webbrowser, der in IGEL OS verwendet wird, wurden mehrere Sicherheitslücken entdeckt. Diese betreffen das folgende IGEL-Produkt:

• IGEL OS 11

Details

Die WebGL DrawElementsInstanced Methode in Firefox ESR ist anfällig für einen Heap Buffer Overflow, wenn sie auf Systemen mit dem Mesa VM Treiber verwendet wird (typischerweise bei Ausführung in VMware Virtualisierung). Dieses Problem wird als hoch eingestuft, da es einem Angreifer ermöglichen könnte, Remote Code Execution sowie einen Sandbox Escape durchzuführen (CVE-2023-6856). Darüber hinaus führt eine fehlerhafte Verwaltung von Besitzrechten zu einem Use-after-Free in ReadableByteStreams, das ebenfalls als hoch eingestuft ist (CVE-2023-6207).

Zusätzlich wurden mehrere Speicherverwaltungsschwachstellen gefunden, die als mittel eingestuft sind.

Update - Anweisungen

• IGEL OS 11: IGEL bereitet eine IGEL OS 11 Version mit aktualisiertem Firefox ESR vor.

Quellen

• CVE-2023-6856 Detail

• CVE-2023-6207 Detail

• Mozilla Foundation Security Advisory 2024-02 Security Vulnerabilities fixed in Firefox ESR 115.7

• Mozilla Foundation Security Advisory 2023-54 Security Vulnerabilities fixed in Firefox ESR 115.6

• Mozilla Foundation Security Advisory 2023-50 Security Vulnerabilities fixed in Firefox ESR 115.5.0