[Warning] Kritische Sicherheitslücke in Mozilla Firefox - Patch verfügbar

Stephan Richter richter at cert.at
Wed Jan 31 14:47:45 CET 2018 

Kritische Sicherheitslücke in Mozilla Firefox - Patch verfügbar

31. Jänner 2018

Beschreibung

Mozilla hat einen Out-of-Band Patch für eine kritische Sicherheitslücke
im Webbrowser Firefox veröffentlicht.

Auswirkungen

Durch Ausnützen dieser Lücke kann ein Angreifer beliebigen Code auf
betroffenen Systemen, mit den Rechten des angemeldeten Benutzers,
ausführen. Dazu reicht es, den Browser zum Anzeigen einer entsprechend
präparierten Webseite zu bringen. Links dazu können etwa per Spam-Mail
verbreitet werden.
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese
erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Systeme, auf denen folgende Software von Mozilla installiert ist:

  * Mozilla Firefox vor Version 58.0.1

Mozilla Firefox 52 ESR und Firefox for Android sind nicht betroffen.

Abhilfe

  * Einspielen des Updates

Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
verfügen, werden wir diese Warnung entsprechend updaten - die aktuelle
Version ist immer via https://cert.at/ abrufbar.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten möglichst
für alle Arten von Browser-Plugins verwendet werden.
  __________________________________________________________________

Informationsquelle(n):

Meldung bei Heise Security
https://www.heise.de/security/meldung/Wichtiges-Sicherheitsupdate-Praeparierte-Webseiten-koennen-Firefox-austricksen-3955246.html
Artikel auf Bleeping Computer (englisch)
https://www.bleepingcomputer.com/news/security/mozilla-fixes-severe-flaw-in-firefox-ui-that-leads-to-remote-code-execution/
Mozilla Foundation Security Advisory 2018-05 (englisch)
https://www.mozilla.org/en-US/security/advisories/mfsa2018-05/


-- 
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20180131/0a15577e/attachment-0001.sig>

More information about the Warning mailing list