Skip to main content
Skip table of contents

ISN 2024-03: Sicherheitslücken in Firefox ESR

Erstveröffentlichung am 31. Januar 2024

CVSS 3.1: 8.8 (hoch)

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Zusammenfassung

Im Firefox ESR Webbrowser, der in IGEL OS verwendet wird, wurden mehrere Sicherheitslücken entdeckt. Diese betreffen das folgende IGEL-Produkt:

  • IGEL OS 11

Details

Die WebGL DrawElementsInstanced Methode in Firefox ESR ist anfällig für einen Heap Buffer Overflow, wenn sie auf Systemen mit dem Mesa VM Treiber verwendet wird (typischerweise bei Ausführung in VMware Virtualisierung). Dieses Problem wird als hoch eingestuft, da es einem Angreifer ermöglichen könnte, Remote Code Execution sowie einen Sandbox Escape durchzuführen (CVE-2023-6856). Darüber hinaus führt eine fehlerhafte Verwaltung von Besitzrechten zu einem Use-after-Free in ReadableByteStreams, das ebenfalls als hoch eingestuft ist (CVE-2023-6207).

Zusätzlich wurden mehrere Speicherverwaltungsschwachstellen gefunden, die als mittel eingestuft sind.

Update - Anweisungen

  • IGEL OS 11: IGEL bereitet eine IGEL OS 11 Version mit aktualisiertem Firefox ESR vor.

Quellen

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.