Meerdere kwetsbaarheden verholpen in Mozilla Firefox

Mozilla heeft een nieuwe versie uitgebracht van Mozilla Firefox en Firefox ESR waarin meerdere kwetsbaarheden zijn verholpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Meerdere kwetsbaarheden verholpen in Mozilla Firefox
Advisory ID     : NCSC-2016-0845
Versie          : 1.01
Kans            : medium
CVE ID          : CVE-2016-2827, CVE-2016-5250, CVE-2016-5256,
                  CVE-2016-5257, CVE-2016-5270, CVE-2016-5271,
                  CVE-2016-5272, CVE-2016-5273, CVE-2016-5274,
                  CVE-2016-5275, CVE-2016-5276, CVE-2016-5277,
                  CVE-2016-5278, CVE-2016-5279, CVE-2016-5280,
                  CVE-2016-5281, CVE-2016-5282, CVE-2016-5283,
                  CVE-2016-5284
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Remote code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20160922
Toepassing      : Mozilla Firefox
Versie(s)       : 49 en ESR 45.4
Platform(s)     : FreeBSD
                  Linux
                  Windows

Update
   CentOS heeft updates beschikbaar gesteld om de kwetsbaarheden in
   CentOS 6 en 7 te verhelpen.

Samenvatting
   Mozilla heeft een nieuwe versie uitgebracht van Mozilla Firefox en
   Firefox ESR waarin meerdere kwetsbaarheden zijn verholpen.

Gevolgen
   De kwetsbaarheden kunnen leiden tot:
      - Een Denial-of-Service.
      - Het verkrijgen van gevoelige informatie.
      - Het uitvoeren van willekeurige code met de rechten van de
      gebruiker.

Beschrijving
   Er zijn meerdere kwetsbaarheden verholpen in Firefox.
   
   - CVE-2016-2827, CVE-2016-5270, CVE-2016-5271
   Er bestaan verschillende out-of-bounds
   geheugen-beveiligingskwetsbaarheden in de browser-engine van
   Firefox. Deze kwetsbaarheden kunnen misbruikt worden voor het
   uitvoeren van willekeurige code.
   
   - CVE-2016-5256, CVE-2016-5257
   Er bestaan verschillende 'memory-corruption' kwetsbaarheden in
   Firefox. Deze kwetsbaarheden kunnen misbruikt worden voor het
   uitvoeren van willekeurige code.
   
   - CVE-2016-5274,VE-2016-5276, CVE-2016-5277, CVE-2016-5280,
   CVE-2016-5281,
   Er bestaan meerdere use-after-free kwetsbaarheden in de
   browser-engine van Firefox. Deze kwetsbaarheden kunnen misbruikt
   worden voor het uitvoeren van willekeurige code.
   
   - CVE-2016-5272, CVE-2016-5273, CVE-2016-5278
   Er bestaan meerdere kwetsbaarheden die kunnen leiden tot een crash
   van firefox. Dit leidt tot een Denial-of-Service en mogelijk tot het
   uitvoeren van willekeurige code.
   
   - CVE-2016-5275, 
   Er bestaat een buffer-overflow-kwetsbaarheid in Firefox. Deze
   kwetsbaarheid kan misbruikt worden voor het uitvoeren van
   willekeurige code.
   
   - CVE-2016-5279,  
   Een path-disclosure kwetsbaarheid stelt scripts in staat om het
   volledige pad naar lokale bestanden te achterhalen.
   
   - CVE-2016-5282,
   Een kwetsbaarheid stelt een aanvaller in staat om een
   beveiligingsmaatregel te omzeilen.
   
   - CVE-2016-5250, CVE-2016-5283,
   Deze kwetsbaarheden kan door een kwaadwillende gebruikt worden om
   gevoelige data te verkrijgen.
    
   - CVE-2016-5284
   Door deze kwetsbaarheid kan een kwaadwillende malafide add-on
   updates sturen naar een kwetsbaar systeem. Deze add-on's moeten
   daarvoor wel al eerst geinstalleerd zijn.

Mogelijke oplossingen
   -= CentOS =-
   CentOS heeft updates beschikbaar gesteld voor CentOS 6 en 7 om de
   kwetsbaarheden te verhelpen. U kunt deze updates installeren met
   behulp van het commando 'yum'. Voor meer informatie en een eventueel
   handmatige installatie, zie:
   
   CentOS 6:
   https://lists.centos.org/pipermail/centos-announce/2016-September
      /022088.html
   
   CentOS 7:
   https://lists.centos.org/pipermail/centos-announce/2016-September
      /022089.html
   
   -= FreeBSD =-
   FreeBSD heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen in Firefox. U kunt deze updates installeren via
   freebsd-update. Meer informatie over deze updates vindt u op:
   
   http://www.vuxml.org/freebsd
      /2c57c47e-8bb3-4694-83c8-9fc3abad3964.html
   
   -= Red Hat =-
   Red Hat heeft updates beschikbaar gesteld voor Red Hat Enterprise
   Linux 5, 6 en 7. U kunt deze updates installeren met behulp van het
   commando 'yum'. Meer informatie over deze updates en over een
   eventueel handmatige installatie vindt u op:
   
   https://rhn.redhat.com/errata/RHSA-2016-1912.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8

wsDVAwUBV+QLlDeMwlgPRdL0AQismQv9Fy1sqcXZgGRIBr4LvmoQUp55ql5TdfSm
uQs9L3QYvn1LwapMT0I1riQKm7COiWGHECLwKDTBaf5fYCHUK99pWhq3sqmiBU5z
Zev8xpr5H4+pBvsdfqd/2ShmkUDorhNnhXWXGn0e7jelC1madYYlKVcQAMDY5KE3
2Q6ynglsAfMNMWtseOSy70Dj3CsZP+CEcwAX/gUImHEI+Ow7rGug3wa2iRDUUkzD
koqzQd4cK9Atnu0Wg/dbcxU8lmweeOh8s7O0ItZBxn/CPw4kqwON8yEZuUqeYnIx
jQVOVxLSt14/ORIwWhjZZiwlZ66iDQIh+wzYjkPjOYLfoHR3nQy8Ami96hOdrinr
ByL2wDGvJwgW6nmYXAQBv6LN7bGxNVHD1rxxMcm9XT5m6QmRZ4SuqhC2Yxphhkg5
tLvd/beRU/P2qB40h1Iwibukcnas7AFwLBjoaMPIdWggfYW0jVSZd98NNO/IeiVE
3IhF5M/rayV/aFkFOl+WPXbQEgcJSD5R
=P42Q
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig