ISN 2024-03: Sicherheitslücken in Firefox ESR
Erstveröffentlichung am 31. Januar 2024
CVSS 3.1: 8.8 (hoch)
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Zusammenfassung
Im Firefox ESR Webbrowser, der in IGEL OS verwendet wird, wurden mehrere Sicherheitslücken entdeckt. Diese betreffen das folgende IGEL-Produkt:
IGEL OS 11
Details
Die WebGL DrawElementsInstanced Methode in Firefox ESR ist anfällig für einen Heap Buffer Overflow, wenn sie auf Systemen mit dem Mesa VM Treiber verwendet wird (typischerweise bei Ausführung in VMware Virtualisierung). Dieses Problem wird als hoch eingestuft, da es einem Angreifer ermöglichen könnte, Remote Code Execution sowie einen Sandbox Escape durchzuführen (CVE-2023-6856). Darüber hinaus führt eine fehlerhafte Verwaltung von Besitzrechten zu einem Use-after-Free in ReadableByteStreams, das ebenfalls als hoch eingestuft ist (CVE-2023-6207).
Zusätzlich wurden mehrere Speicherverwaltungsschwachstellen gefunden, die als mittel eingestuft sind.
Update - Anweisungen
IGEL OS 11: IGEL bereitet eine IGEL OS 11 Version mit aktualisiertem Firefox ESR vor.