Skip to main content
Skip table of contents

ISN 2025-20: Kritische Sicherheitslücken in Firefox ESR

Erstveröffentlichung: 3. Juni 2025

CVSS 3.1: 9.8 (Kritisch)

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Zusammenfassung

In Firefox ESR, einem in IGEL OS verwendeten Webbrowser, wurden Sicherheitslücken entdeckt. Betroffen sind die folgenden Produktversionen:

  • IGEL OS 12

  • IGEL OS 11

Details

In Firefox ESR wurden drei kritische Sicherheitslücken entdeckt, die verschiedene Komponenten der JavaScript- und WebRTC-Verarbeitung betreffen. CVE-2025-4918 beschreibt einen Out-of-Bounds Read oder Write auf ein JavaScript-Promise-Objekt. CVE-2025-4919 ermöglicht durch inkorrekte Behandlung von Array-Indexgrößen ebenfalls einen Out-of-Bounds Read oder Write auf JavaScript-Objekte. Darüber hinaus kann es im libvpx-Encoder, der von Firefox ESR für WebRTC verwendet wird, zu einem Double-Free kommen (MFSA-TMP-2025-0001). Diese Sicherheitslücken können von einem entfernten Angreifer ausgenutzt werden, um die Anwendung zum Absturz zu bringen, sensible Daten auszulesen oder im schlimmsten Fall beliebigen Code auf dem Zielsystem auszuführen.

Update-Anwendungen

  • OS 12: Aktualisieren Sie die Firefox-ESR-App unter OS 12 auf Version 128.11 oder höher, sobald diese im IGEL App Portal verfügbar ist.

  • OS 11: Aktualisieren Sie auf Version 11.10.310, sobald diese verfügbar ist (geplant für den 4. Juni).

Quellen

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close