Nächste kritische Sicherheitslücke in Firefox 124.0

Einmal alle auf Firefox 124.0.1 updaten..

https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/

CVE-2024-29944: Privileged JavaScript Execution via Event Handlers

Reporter Manfred Paul via Trend Micro’s Zero Day Initiative
Impact critical
Description

An attacker was able to inject an event handler into a privileged object that would allow arbitrary JavaScript execution in the parent process. Note: This vulnerability affects Desktop Firefox only, it does not affect mobile versions of Firefox.

Die Lücke ist OS unabhängig.

Fedora: Firefox 124.0 Security Update nicht gepusht

Es ist wieder passiert. Wir haben eine RCE Lücke, die von den MozillaDevs als Kritisch eingestuft wird, weil man vermutlich Code ausführen kann als Angreifer, und die Firefox Updates stecken im Fedora Buildsystem fest 🙁

Fedora: Firefox 124.0 Security Update nicht gepusht

Wiedereinmal mußte ich heute die Updates ins Stable schicken, damit Fedorauser als letzte wichtige Sicherheitsupdates bekommen. Langsam ist das nicht mehr schön.

Mein Angebot steht aber: ich helfe gerne aus und kümmere mich darum.

Für alle die jetzt noch kein Update haben, wir machen das hier:

Fedora 38:

wget https://kojipkgs.fedoraproject.org//packages/firefox/124.0/1.fc38/x86_64/firefox-langpacks-124.0-1.fc38.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/firefox/124.0/1.fc38/x86_64/firefox-124.0-1.fc38.x86_64.rpm

Fedora 39:

wget https://kojipkgs.fedoraproject.org//packages/firefox/124.0/1.fc39/x86_64/firefox-langpacks-124.0-1.fc39.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/firefox/124.0/1.fc39/x86_64/firefox-124.0-1.fc39.x86_64.rpm

Dann gemeinsam:

sudo dnf update ./firefox*rpm

Passwort eingeben und gut.

Fedora – Notfall Firefox Updates vorhanden

Kaum eine Woche ist die letzte Krise her, da müssen wir schon wieder ran: Lücke in WebP

Fedora – Notfall Firefox Updates vorhanden

Auch diesmal bedurfte es erst einmal einer Email, bevor das Update gebaut wurde. Irgendwas hakt da gerade im Fedoragetriebe.

Für Fedora 37 installiert Ihr das als Root so:

dnf update https://kojipkgs.fedoraproject.org//packages/firefox/117.0.1/1.fc37/x86_64/firefox-117.0.1-1.fc37.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/firefox/117.0.1/1.fc37/x86_64/firefox-langpacks-117.0.1-1.fc37.x86_64.rpm

Für Fedora 38 so:

dnf update https://kojipkgs.fedoraproject.org//packages/firefox/117.0.1/1.fc38/x86_64/firefox-117.0.1-1.fc38.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/firefox/117.0.1/1.fc38/x86_64/firefox-langpacks-117.0.1-1.fc38.x86_64.rpm

Diesmal reicht es aber nicht nur Firefox zu updaten, sondern Ihr dürft auch:

Thunderbird
Chromium
Schildichat
Element

und jede andere App updaten, die die libwebp.so nutzt.  Für Schildichat ist nicht mal ein Update verfügbar. Ich war da mal so frei, ein Issue da zu lassen. Ihr müßt da den von Euch genutzten Softwarepark selbst mal durchsehen!