Erstveröffentlichung: 3. Juni 2025
CVSS 3.1: 9.8 (Kritisch)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Zusammenfassung
In Firefox ESR, einem in IGEL OS verwendeten Webbrowser, wurden Sicherheitslücken entdeckt. Betroffen sind die folgenden Produktversionen:
-
IGEL OS 12
-
IGEL OS 11
Details
In Firefox ESR wurden drei kritische Sicherheitslücken entdeckt, die verschiedene Komponenten der JavaScript- und WebRTC-Verarbeitung betreffen. CVE-2025-4918 beschreibt einen Out-of-Bounds Read oder Write auf ein JavaScript-Promise-Objekt. CVE-2025-4919 ermöglicht durch inkorrekte Behandlung von Array-Indexgrößen ebenfalls einen Out-of-Bounds Read oder Write auf JavaScript-Objekte. Darüber hinaus kann es im libvpx-Encoder, der von Firefox ESR für WebRTC verwendet wird, zu einem Double-Free kommen (MFSA-TMP-2025-0001). Diese Sicherheitslücken können von einem entfernten Angreifer ausgenutzt werden, um die Anwendung zum Absturz zu bringen, sensible Daten auszulesen oder im schlimmsten Fall beliebigen Code auf dem Zielsystem auszuführen.
Update-Anwendungen
-
OS 12: Aktualisieren Sie die Firefox-ESR-App unter OS 12 auf Version 128.11 oder höher, sobald diese im IGEL App Portal verfügbar ist.
-
OS 11: Aktualisieren Sie auf Version 11.10.310, sobald diese verfügbar ist (geplant für den 4. Juni).
Quellen
-
Sicherheitshinweis der Mozilla Foundation 2025-44: https://www.mozilla.org/en-US/security/advisories/mfsa2025-44/
-
Sicherheitshinweis der Mozilla Foundation 2025-37: https://www.mozilla.org/en-US/security/advisories/mfsa2025-37/