ISN 2024-22: Sicherheitslücken in Firefox ESR
Aktualisiert am 9. Januar 2025 (OS 11.10.250 enthält die Lösung)
Erstveröffentlichung am 6. November 2024
CVSS 3.1: 8.2 (Hoch)
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N
Zusammenfassung
Im Firefox ESR Webbrowser, der in IGEL OS verwendet wird, wurde eine Sicherheitslücke entdeckt. Dies betrifft die folgenden IGEL- Produkte:
IGEL OS 12
IGEL OS 11
Details
Es wurde festgestellt, dass ein Berechtigungsleck von einer vertrauenswürdigen Website zu einer nicht vertrauenswürdigen Website über embed- oder object-Elemente möglich ist. Diese Schwachstelle wird als hoch eingestuft und unter CVE-2024-10458 geführt.
Ein weiteres schwerwiegendes Problem betrifft den Barrierefreiheitsmodus (Accessibility Mode). Wenn dieser aktiviert ist, kann ein Angreifer ein Use-after-Free auslösen, das zu einem Absturz führt und potenziell ausgenutzt werden könnte (CVE-2024-10459).
Update - Anweisungen
OS 12: Aktualisieren Sie auf die IGEL OS App mit Firefox ESR Version 115.17, sobald diese im IGEL App Portal verfügbar ist.
OS 11: Aktualisieren Sie auf IGEL OS Version 11.10.250 (geplant für den 25. Februar 2025).
Quellen
MFSA-2024-57: Mozilla Foundation Security Advisory 2024-57