ISN 2024-13: Sicherheitslücken in Firefox ESR
Erstveröffentlichung am 18. Juni 2024
CVSS 3.1: 7.5 (hoch)
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Zusammenfassung
Im Firefox ESR Webbrowser, der in IGEL OS verwendet wird, wurden mehrere Sicherheitslücken entdeckt. Diese betreffen die folgenden IGEL-Produkte:
IGEL OS 12
IGEL OS 11
Details
In PDF.js, der Komponente, die Firefox zur Darstellung von PDF Dateien verwendet, wurde eine Schwachstelle entdeckt: In ein PDF Dokument eingebettetes JavaScript wird im Kontext der hostenden Domain ausgeführt (CVE-2024-4367, hoch). In IGEL OS 11 ist dies bereits dadurch mitigiert, dass Firefox ESR PDF Dateien im externen PDF Viewer öffnet. Die Firefox ESR App für OS 12 ist jedoch vollständig betroffen.
Weitere als hoch eingestufte Probleme wurden in der JIT Komponente gefunden: GetBoundName, das das falsche Objekt zurückgibt (CVE-2024-3852) ein Out-of-Bounds-Read nach einer fehlerhaft optimierten switch Anweisung (CVE-2024-3854) potenzielle Use-after-Free-Abstürze während der Garbage Collection (CVE-2024-3857) Zusätzlich wurde ein Memory Safety Bug entdeckt (CVE-2024-3864, hoch), der Speicherbeschädigungen zeigte und potenziell zur Ausführung beliebigen Codes ausgenutzt werden könnte.
Update - Anweisungen
OS 12: Aktualisieren Sie auf die Firefox ESR App in Version 115.11 oder neuer, sobald diese im App Portal verfügbar ist.
OS 11: Aktualisieren Sie auf das kommende IGEL OS 11.10.150.
Quellen
MFSA 2024-22: Security Vulnerabilities fixed in Firefox ESR 115.11
Github-reviewed Advisory for CVE-2024-4367: CVE-2024-4367 - GitHub Advisory Database
MFSA 2024-19: Security Vulnerabilities fixed in Firefox ESR 115.10