Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is gemiddeld Schadeniveau is hoog NCSC-2016-0845 [1.00]

Meerdere kwetsbaarheden verholpen in Mozilla Firefox

21-09-2016 - Mozilla heeft een nieuwe versie uitgebracht van Mozilla Firefox en Firefox ESR waarin meerdere kwetsbaarheden zijn verholpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Meerdere kwetsbaarheden verholpen in Mozilla Firefox
Advisory ID     : NCSC-2016-0845
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2016-2827, CVE-2016-5250, CVE-2016-5256,
                  CVE-2016-5257, CVE-2016-5270, CVE-2016-5271,
                  CVE-2016-5272, CVE-2016-5273, CVE-2016-5274,
                  CVE-2016-5275, CVE-2016-5276, CVE-2016-5277,
                  CVE-2016-5278, CVE-2016-5279, CVE-2016-5280,
                  CVE-2016-5281, CVE-2016-5282, CVE-2016-5283,
                  CVE-2016-5284
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Remote code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20160921
Toepassing      : Mozilla Firefox
Versie(s)       : 49 en ESR 45.4
Platform(s)     : FreeBSD 
                  Microsoft Windows
                  RedHat

Samenvatting
   Mozilla heeft een nieuwe versie uitgebracht van Mozilla Firefox en
   Firefox ESR waarin meerdere kwetsbaarheden zijn verholpen.

Gevolgen
   De kwetsbaarheden kunnen leiden tot:
      - Een Denial-of-Service.
      - Het verkrijgen van gevoelige informatie.
      - Het uitvoeren van willekeurige code met de rechten van de
      gebruiker.

Beschrijving
   Er zijn meerdere kwetsbaarheden verholpen in Firefox.
   
   - CVE-2016-2827, CVE-2016-5270, CVE-2016-5271
   Er bestaan verschillende out-of-bounds
   geheugen-beveiligingskwetsbaarheden in de browser-engine van
   Firefox. Deze kwetsbaarheden kunnen misbruikt worden voor het
   uitvoeren van willekeurige code.
   
   - CVE-2016-5256, CVE-2016-5257
   Er bestaan verschillende 'memory-corruption' kwetsbaarheden in
   Firefox. Deze kwetsbaarheden kunnen misbruikt worden voor het
   uitvoeren van willekeurige code.
   
   - CVE-2016-5274,VE-2016-5276, CVE-2016-5277, CVE-2016-5280,
   CVE-2016-5281,
   Er bestaan meerdere use-after-free kwetsbaarheden in de
   browser-engine van Firefox. Deze kwetsbaarheden kunnen misbruikt
   worden voor het uitvoeren van willekeurige code.
   
   - CVE-2016-5272, CVE-2016-5273, CVE-2016-5278
   Er bestaan meerdere kwetsbaarheden die kunnen leiden tot een crash
   van firefox. Dit leidt tot een Denial-of-Service en mogelijk tot het
   uitvoeren van willekeurige code.
   
   - CVE-2016-5275, 
   Er bestaat een buffer-overflow-kwetsbaarheid in Firefox. Deze
   kwetsbaarheid kan misbruikt worden voor het uitvoeren van
   willekeurige code.
   
   - CVE-2016-5279,  
   Een path-disclosure kwetsbaarheid stelt scripts in staat om het
   volledige pad naar lokale bestanden te achterhalen.
   
   - CVE-2016-5282,
   Een kwetsbaarheid stelt een aanvaller in staat om een
   beveiligingsmaatregel te omzeilen.
   
   - CVE-2016-5250, CVE-2016-5283,
   Deze kwetsbaarheden kan door een kwaadwillende gebruikt worden om
   gevoelige data te verkrijgen.
    
   - CVE-2016-5284
   Door deze kwetsbaarheid kan een kwaadwillende malafide add-on
   updates sturen naar een kwetsbaar systeem. Deze add-on's moeten
   daarvoor wel al eerst geinstalleerd zijn.

Mogelijke oplossingen
   -= FreeBSD =-
   FreeBSD heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen in Firefox. U kunt deze updates installeren via
   freebsd-update. Meer informatie over deze updates vindt u op:
   
   http://www.vuxml.org/freebsd
      /2c57c47e-8bb3-4694-83c8-9fc3abad3964.html
   
   -= Red Hat =-
   Red Hat heeft updates beschikbaar gesteld voor Red Hat Enterprise
   Linux 5, 6 en 7. U kunt deze updates installeren met behulp van het
   commando 'yum'. Meer informatie over deze updates en over een
   eventueel handmatige installatie vindt u op:
   
   https://rhn.redhat.com/errata/RHSA-2016-1912.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=SRv3
-----END PGP SIGNATURE-----

Wat is het NCSC?

NCSCstill

CSBN 2017

CSBN 2017