Meerdere kwetsbaarheden verholpen in Mozilla Firefox

Mozilla heeft een nieuwe versie uitgebracht van Mozilla Firefox en Firefox ESR waarin meerdere kwetsbaarheden zijn verholpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.03 #############################

Titel           : Meerdere kwetsbaarheden verholpen in Mozilla Firefox
Advisory ID     : NCSC-2016-0845
Versie          : 1.03
Kans            : medium
CVE ID          : CVE-2016-2827, CVE-2016-5250, CVE-2016-5256,
                  CVE-2016-5257, CVE-2016-5270, CVE-2016-5271,
                  CVE-2016-5272, CVE-2016-5273, CVE-2016-5274,
                  CVE-2016-5275, CVE-2016-5276, CVE-2016-5277,
                  CVE-2016-5278, CVE-2016-5279, CVE-2016-5280,
                  CVE-2016-5281, CVE-2016-5282, CVE-2016-5283,
                  CVE-2016-5284
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Remote code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20160926
Toepassing      : Mozilla Firefox
Versie(s)       : < 49.0.1
                  < 45.4.0 esr
Platform(s)     : FreeBSD
                  Linux
                  Windows

Update
   De ontwikkelaars van OpenSUSE en Fedora hebben updates uitgebracht
   om de kwetsbaarheden te verhelpen. Zie voor meer informatie de
   paragraaf "Mogelijke oplossingen".

Samenvatting
   Mozilla heeft een nieuwe versie uitgebracht van Mozilla Firefox en
   Firefox ESR waarin meerdere kwetsbaarheden zijn verholpen.

Gevolgen
   De kwetsbaarheden kunnen leiden tot:
      - Een Denial-of-Service.
      - Het verkrijgen van gevoelige informatie.
      - Het uitvoeren van willekeurige code met de rechten van de
   gebruiker.

Beschrijving
   - CVE-2016-2827, CVE-2016-5270, CVE-2016-5271
   Er bestaan verschillende out-of-bounds-geheugen-kwetsbaarheden in de
   browser-engine van Firefox. Deze kwetsbaarheden kunnen misbruikt
   worden voor het uitvoeren van willekeurige code.
   
   - CVE-2016-5256, CVE-2016-5257
   Er bestaan verschillende memory-corruption-kwetsbaarheden in
   Firefox. Deze kwetsbaarheden kunnen misbruikt worden voor het
   uitvoeren van willekeurige code.
   
   - CVE-2016-5274,VE-2016-5276, CVE-2016-5277, CVE-2016-5280,
   CVE-2016-5281
   Er bestaan meerdere use-after-free-kwetsbaarheden in de
   browser-engine van Firefox. Deze kwetsbaarheden kunnen misbruikt
   worden voor het uitvoeren van willekeurige code.
   
   - CVE-2016-5272, CVE-2016-5273, CVE-2016-5278
   Er bestaan meerdere kwetsbaarheden die kunnen leiden tot een crash
   van firefox. Dit leidt tot een Denial-of-Service en mogelijk tot het
   uitvoeren van willekeurige code.
   
   - CVE-2016-5275
   Er bestaat een buffer-overflow-kwetsbaarheid in Firefox. Deze
   kwetsbaarheid kan misbruikt worden voor het uitvoeren van
   willekeurige code.
   
   - CVE-2016-5279
   Een path-disclosure-kwetsbaarheid stelt scripts in staat om het
   volledige pad naar lokale bestanden te achterhalen.
   
   - CVE-2016-5282
   Een kwetsbaarheid stelt een aanvaller in staat om een
   beveiligingsmaatregel te omzeilen.
   
   - CVE-2016-5250, CVE-2016-5283
   Deze kwetsbaarheden kunnen door een kwaadwillende gebruikt worden om
   gevoelige data te verkrijgen.
    
   - CVE-2016-5284
   Door deze kwetsbaarheid kan een kwaadwillende malafide
   add-on-updates sturen naar een kwetsbaar systeem. Deze add-on's
   moeten daarvoor wel al eerst geïnstalleerd zijn.

Mogelijke oplossingen
   -= CentOS =-
   CentOS heeft updates beschikbaar gesteld voor CentOS 5, 6 en 7 om de
   kwetsbaarheden te verhelpen. U kunt deze updates installeren met
   behulp van het commando 'yum'. Voor meer informatie en een eventueel
   handmatige installatie, zie:
   
   CentOS 5:
   https://lists.centos.org/pipermail/centos-announce/2016-September
      /022090.html
   
   CentOS 6:
   https://lists.centos.org/pipermail/centos-announce/2016-September
      /022088.html
   
   CentOS 7:
   https://lists.centos.org/pipermail/centos-announce/2016-September
      /022089.html
   
   -= Debian =-
   Debian heeft updates van firefox-esr beschikbaar gesteld voor Debian
   8.0 (Jessie) om de kwetsbaarheden te verhelpen. U kunt de aangepaste
   packages installeren door gebruik te maken van 'apt-get update' en
   'apt-get upgrade'. Meer informatie kunt u vinden op onderstaande
   pagina:
   
   https://www.debian.org/security/2016/dsa-3674
   
   -= Fedora =-
   Fedora heeft updates beschikbaar gesteld voor Fedora 23 en 24. U
   kunt deze updates installeren met behulp van het commando 'dnf' of
   'yum'. Meer informatie over deze updates en over een eventueel
   handmatige installatie vindt u op:
   
   23:
   https://lists.fedoraproject.org/archives/list
      /package-announce@lists.fedoraproject.org/thread
      /BMRVQYT4EQQEHWSXAP3MLHQI6CZRGE4Z/
   
   24:
   https://lists.fedoraproject.org/archives/list
      /package-announce@lists.fedoraproject.org/thread
      /ZXDJGIYODCHE3UHZQ5NGVM7S7RUYJJ5P/
   
   
   -= FreeBSD =-
   FreeBSD heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen in Firefox. U kunt deze updates installeren via
   freebsd-update. Meer informatie over deze updates vindt u op:
   
   http://www.vuxml.org/freebsd
      /2c57c47e-8bb3-4694-83c8-9fc3abad3964.html
   
   -= OpenSUSE =-
   De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om
   de kwetsbaarheid te verhelpen in OpenSUSE 13.2 en Leap 42.1. U kunt
   deze aangepaste packages installeren door gebruik te maken van
   'zypper'. U kunt ook gebruik maken van YAST of de updates handmatig
   downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer
   informatie, zie:
   
   https://lists.opensuse.org/opensuse-updates/2016-09/msg00083.html
   
   -= Red Hat =-
   Red Hat heeft updates beschikbaar gesteld voor Red Hat Enterprise
   Linux 5, 6 en 7. U kunt deze updates installeren met behulp van het
   commando 'yum'. Meer informatie over deze updates en over een
   eventueel handmatige installatie vindt u op:
   
   https://rhn.redhat.com/errata/RHSA-2016-1912.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=SzB6
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig