Skip to main content
Skip table of contents

ISN 2024-08: Sicherheitslücken in Firefox ESR

Erstveröffentlichung am 26. März 2024

CVSS 3.1: 9.8 (kritisch)

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Zusammenfassung

Im Firefox ESR Webbrowser, der in IGEL OS verwendet wird, wurden mehrere Sicherheitslücken entdeckt. Diese betreffen die folgenden IGEL-Produkte:

  • IGEL OS 12

  • IGEL OS 11

Details

Unter den gefundenen Schwachstellen befindet sich eine als kritisch eingestufte: Ein Angreifer könnte einen Event-Handler in ein privilegiertes Objekt einschleusen, was die Ausführung beliebigen Codes ermöglichen kann (CVE-2024-29944).

Darüber hinaus wurden mehrere als hoch eingestufte Probleme identifiziert. Mehrere Methoden könnten von Integer Overflows betroffen sein, was zu einer Unterallokation eines Ausgabepuffers und in der Folge zu einem Out-of-Bounds Write führen kann (CVE-2024-2608). Ein Out-of-Bounds Memory Read wurde in Networking Channels entdeckt (CVE-2024-1546). ICU kann durch Resource Exhaustion beeinträchtigt werden (CVE-2024-2616) und eine TLS Methode in NSS kann einen potenziell ausnutzbaren Absturz verursachen (CVE-2024-0743). Eine weitere Schwachstelle ermöglicht es einem Angreifer, einen Warn Dialog (Alert) auf einer anderen Website vorzutäuschen (CVE-2024-1547). Schließlich wurden Memory Safety Bugs gemeldet (CVE-2024-1553, CVE-2024-2614).

Update - Anweisungen

  • OS 12: Aktualisieren Sie die Firefox ESR App für OS 12 auf Version 115.9.1, sobald diese im IGEL App Portal verfügbar ist.

  • OS 11: Aktualisieren Sie auf IGEL OS 11.09.310, sobald diese Version verfügbar ist.

Quellen

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.