Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is gemiddeld Schadeniveau is hoog NCSC-2016-0845 [1.02]

Meerdere kwetsbaarheden verholpen in Mozilla Firefox

23-09-2016 - Mozilla heeft een nieuwe versie uitgebracht van Mozilla Firefox en Firefox ESR waarin meerdere kwetsbaarheden zijn verholpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.02 #############################

Titel           : Meerdere kwetsbaarheden verholpen in Mozilla Firefox
Advisory ID     : NCSC-2016-0845
Versie          : 1.02
Kans            : medium
CVE ID          : CVE-2016-2827, CVE-2016-5250, CVE-2016-5256,
                  CVE-2016-5257, CVE-2016-5270, CVE-2016-5271,
                  CVE-2016-5272, CVE-2016-5273, CVE-2016-5274,
                  CVE-2016-5275, CVE-2016-5276, CVE-2016-5277,
                  CVE-2016-5278, CVE-2016-5279, CVE-2016-5280,
                  CVE-2016-5281, CVE-2016-5282, CVE-2016-5283,
                  CVE-2016-5284
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Remote code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20160923
Toepassing      : Mozilla Firefox
Versie(s)       : 
Platform(s)     : FreeBSD
                  Linux
                  Windows

Update
   De makers van Debian en CentOS hebben updates uitgebracht om de
   kwetsbaarheden te verhelpen. Zie "Mogelijke oplossingen" voor meer
   informatie.

Samenvatting
   Mozilla heeft een nieuwe versie uitgebracht van Mozilla Firefox en
   Firefox ESR waarin meerdere kwetsbaarheden zijn verholpen.

Gevolgen
   De kwetsbaarheden kunnen leiden tot:
      - Een Denial-of-Service.
      - Het verkrijgen van gevoelige informatie.
      - Het uitvoeren van willekeurige code met de rechten van de
   gebruiker.

Beschrijving
   - CVE-2016-2827, CVE-2016-5270, CVE-2016-5271
   Er bestaan verschillende out-of-bounds-geheugen-kwetsbaarheden in de
   browser-engine van Firefox. Deze kwetsbaarheden kunnen misbruikt
   worden voor het uitvoeren van willekeurige code.
   
   - CVE-2016-5256, CVE-2016-5257
   Er bestaan verschillende memory-corruption-kwetsbaarheden in
   Firefox. Deze kwetsbaarheden kunnen misbruikt worden voor het
   uitvoeren van willekeurige code.
   
   - CVE-2016-5274,VE-2016-5276, CVE-2016-5277, CVE-2016-5280,
   CVE-2016-5281
   Er bestaan meerdere use-after-free-kwetsbaarheden in de
   browser-engine van Firefox. Deze kwetsbaarheden kunnen misbruikt
   worden voor het uitvoeren van willekeurige code.
   
   - CVE-2016-5272, CVE-2016-5273, CVE-2016-5278
   Er bestaan meerdere kwetsbaarheden die kunnen leiden tot een crash
   van firefox. Dit leidt tot een Denial-of-Service en mogelijk tot het
   uitvoeren van willekeurige code.
   
   - CVE-2016-5275
   Er bestaat een buffer-overflow-kwetsbaarheid in Firefox. Deze
   kwetsbaarheid kan misbruikt worden voor het uitvoeren van
   willekeurige code.
   
   - CVE-2016-5279
   Een path-disclosure-kwetsbaarheid stelt scripts in staat om het
   volledige pad naar lokale bestanden te achterhalen.
   
   - CVE-2016-5282
   Een kwetsbaarheid stelt een aanvaller in staat om een
   beveiligingsmaatregel te omzeilen.
   
   - CVE-2016-5250, CVE-2016-5283
   Deze kwetsbaarheden kunnen door een kwaadwillende gebruikt worden om
   gevoelige data te verkrijgen.
    
   - CVE-2016-5284
   Door deze kwetsbaarheid kan een kwaadwillende malafide
   add-on-updates sturen naar een kwetsbaar systeem. Deze add-on's
   moeten daarvoor wel al eerst geïnstalleerd zijn.

Mogelijke oplossingen
   -= CentOS =-
   CentOS heeft updates beschikbaar gesteld voor CentOS 5, 6 en 7 om de
   kwetsbaarheden te verhelpen. U kunt deze updates installeren met
   behulp van het commando 'yum'. Voor meer informatie en een eventueel
   handmatige installatie, zie:
   
   CentOS 5:
   https://lists.centos.org/pipermail/centos-announce/2016-September
      /022090.html
   
   CentOS 6:
   https://lists.centos.org/pipermail/centos-announce/2016-September
      /022088.html
   
   CentOS 7:
   https://lists.centos.org/pipermail/centos-announce/2016-September
      /022089.html
   
   -= Debian =-
   Debian heeft updates van firefox-esr beschikbaar gesteld voor Debian
   8.0 (Jessie) om de kwetsbaarheden te verhelpen. U kunt de aangepaste
   packages installeren door gebruik te maken van 'apt-get update' en
   'apt-get upgrade'. Meer informatie kunt u vinden op onderstaande
   pagina:
   
   https://www.debian.org/security/2016/dsa-3674
   
   -= FreeBSD =-
   FreeBSD heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen in Firefox. U kunt deze updates installeren via
   freebsd-update. Meer informatie over deze updates vindt u op:
   
   http://www.vuxml.org/freebsd
      /2c57c47e-8bb3-4694-83c8-9fc3abad3964.html
   
   -= Red Hat =-
   Red Hat heeft updates beschikbaar gesteld voor Red Hat Enterprise
   Linux 5, 6 en 7. U kunt deze updates installeren met behulp van het
   commando 'yum'. Meer informatie over deze updates en over een
   eventueel handmatige installatie vindt u op:
   
   https://rhn.redhat.com/errata/RHSA-2016-1912.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8

wsDVAwUBV+TlJjeMwlgPRdL0AQhG7gv+N9dfmDA2rbgkBo97V0ZrpJJH3I3FuhEB
7TDZwv5m9K4wYI8bMJbcY1zy1f8wkq5dN9dVqlyW3p1NuVYl4zPhlz6Ea9yMRuW1
ityeyW4npRA/wvwe9uv5RHCkX8WaPODyIPJdqfegvtio7NEyuYu7FpNu6WgB6w2u
NlpQzTBcCZFovMVlPQkjdUIc8xIt9SkkC1wDo+u6JnnbisjwfC7Z1vqjPg+lxsQh
EAYW8hKfyx1HVeTRAPtjdX4thZ7LsZq4sfXcYSPb6Ijpn+qNtmXAliyJvAER0x+p
U+iWb5U4ZBIc6LNd7pu/O7HIgx4yNP2Q4vKGKF6kJqv6hB7sRASIIddYSFPbMGwF
0NSt2hv6/7TiYWIObzSlF7kxWtVv925UN/u0gLeTk1dA5m6tIAn0pPXG8xvaztOO
aIdfq0QYBrA8sPV5M3GDhkH7ul3Vu2ZCuh7zviVKn4wmYNim5rCTTL+FN/U3HxiE
iyDa/WEz4a11LvThSvPqnRFuIjVdhug0
=Djtr
-----END PGP SIGNATURE-----

Wat is het NCSC?

NCSCstill

CSBN 2017

CSBN 2017