ISN 2024-08: Sicherheitslücken in Firefox ESR
Erstveröffentlichung am 26. März 2024
CVSS 3.1: 9.8 (kritisch)
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Zusammenfassung
Im Firefox ESR Webbrowser, der in IGEL OS verwendet wird, wurden mehrere Sicherheitslücken entdeckt. Diese betreffen die folgenden IGEL-Produkte:
IGEL OS 12
IGEL OS 11
Details
Unter den gefundenen Schwachstellen befindet sich eine als kritisch eingestufte: Ein Angreifer könnte einen Event-Handler in ein privilegiertes Objekt einschleusen, was die Ausführung beliebigen Codes ermöglichen kann (CVE-2024-29944).
Darüber hinaus wurden mehrere als hoch eingestufte Probleme identifiziert. Mehrere Methoden könnten von Integer Overflows betroffen sein, was zu einer Unterallokation eines Ausgabepuffers und in der Folge zu einem Out-of-Bounds Write führen kann (CVE-2024-2608). Ein Out-of-Bounds Memory Read wurde in Networking Channels entdeckt (CVE-2024-1546). ICU kann durch Resource Exhaustion beeinträchtigt werden (CVE-2024-2616) und eine TLS Methode in NSS kann einen potenziell ausnutzbaren Absturz verursachen (CVE-2024-0743). Eine weitere Schwachstelle ermöglicht es einem Angreifer, einen Warn Dialog (Alert) auf einer anderen Website vorzutäuschen (CVE-2024-1547). Schließlich wurden Memory Safety Bugs gemeldet (CVE-2024-1553, CVE-2024-2614).
Update - Anweisungen
OS 12: Aktualisieren Sie die Firefox ESR App für OS 12 auf Version 115.9.1, sobald diese im IGEL App Portal verfügbar ist.
OS 11: Aktualisieren Sie auf IGEL OS 11.09.310, sobald diese Version verfügbar ist.
Quellen
MSFA-2024-16: Mozilla Foundation Security Advisory 2024-16 Security Vulnerabilities fixed in Firefox ESR 115.9.1 Announced March 22, 2024
MSFA-2024-12: Mozilla Foundation Security Advisory 2024-13 Security Vulnerabilities fixed in Firefox ESR 115.9
MSFA-2024-06: Mozilla Foundation Security Advisory 2024-06 Security Vulnerabilities fixed in Firefox ESR 115.8