ISN 2024-13: Sicherheitslücken in Firefox ESR

Erstveröffentlichung am 18. Juni 2024

CVSS 3.1: 7.5 (hoch)

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Zusammenfassung

Im Firefox ESR Webbrowser, der in IGEL OS verwendet wird, wurden mehrere Sicherheitslücken entdeckt. Diese betreffen die folgenden IGEL-Produkte:

• IGEL OS 12

• IGEL OS 11

Details

In PDF.js, der Komponente, die Firefox zur Darstellung von PDF Dateien verwendet, wurde eine Schwachstelle entdeckt: In ein PDF Dokument eingebettetes JavaScript wird im Kontext der hostenden Domain ausgeführt (CVE-2024-4367, hoch). In IGEL OS 11 ist dies bereits dadurch mitigiert, dass Firefox ESR PDF Dateien im externen PDF Viewer öffnet. Die Firefox ESR App für OS 12 ist jedoch vollständig betroffen.

Weitere als hoch eingestufte Probleme wurden in der JIT Komponente gefunden: GetBoundName, das das falsche Objekt zurückgibt (CVE-2024-3852) ein Out-of-Bounds-Read nach einer fehlerhaft optimierten switch Anweisung (CVE-2024-3854) potenzielle Use-after-Free-Abstürze während der Garbage Collection (CVE-2024-3857) Zusätzlich wurde ein Memory Safety Bug entdeckt (CVE-2024-3864, hoch), der Speicherbeschädigungen zeigte und potenziell zur Ausführung beliebigen Codes ausgenutzt werden könnte.

Update - Anweisungen

• OS 12: Aktualisieren Sie auf die Firefox ESR App in Version 115.11 oder neuer, sobald diese im App Portal verfügbar ist.

• OS 11: Aktualisieren Sie auf das kommende IGEL OS 11.10.150.

Quellen

• MFSA 2024-22: Security Vulnerabilities fixed in Firefox ESR 115.11

• Github-reviewed Advisory for CVE-2024-4367: CVE-2024-4367 - GitHub Advisory Database

• MFSA 2024-19: Security Vulnerabilities fixed in Firefox ESR 115.10