Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is gemiddeld Schadeniveau is hoog NCSC-2016-0845 [1.04]

Meerdere kwetsbaarheden verholpen in Mozilla Firefox

27-09-2016 - Mozilla heeft een nieuwe versie uitgebracht van Mozilla Firefox en Firefox ESR waarin meerdere kwetsbaarheden zijn verholpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.04 #############################

Titel           : Meerdere kwetsbaarheden verholpen in Mozilla Firefox
Advisory ID     : NCSC-2016-0845
Versie          : 1.04
Kans            : medium
CVE ID          : CVE-2016-2827, CVE-2016-5250, CVE-2016-5256,
                  CVE-2016-5257, CVE-2016-5270, CVE-2016-5271,
                  CVE-2016-5272, CVE-2016-5273, CVE-2016-5274,
                  CVE-2016-5275, CVE-2016-5276, CVE-2016-5277,
                  CVE-2016-5278, CVE-2016-5279, CVE-2016-5280,
                  CVE-2016-5281, CVE-2016-5282, CVE-2016-5283,
                  CVE-2016-5284
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Remote code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20160927
Toepassing      : Mozilla Firefox
Versie(s)       : < 49.0.1
                  < 45.4.0 esr
Platform(s)     : FreeBSD
                  Linux
                  Windows

Update
   Ubuntu heeft updates uitgebracht voor Firefox die de kwetsbaarheden
   verhelpen. Zie "Mogelijke oplossingen" voor meer informatie.

Samenvatting
   Mozilla heeft een nieuwe versie uitgebracht van Mozilla Firefox en
   Firefox ESR waarin meerdere kwetsbaarheden zijn verholpen.

Gevolgen
   De kwetsbaarheden kunnen leiden tot:
      - Een Denial-of-Service.
      - Het verkrijgen van gevoelige informatie.
      - Het uitvoeren van willekeurige code met de rechten van de
   gebruiker.

Beschrijving
   - CVE-2016-2827, CVE-2016-5270, CVE-2016-5271
   Er bestaan verschillende out-of-bounds-geheugen-kwetsbaarheden in de
   browser-engine van Firefox. Deze kwetsbaarheden kunnen misbruikt
   worden voor het uitvoeren van willekeurige code.
   
   - CVE-2016-5256, CVE-2016-5257
   Er bestaan verschillende memory-corruption-kwetsbaarheden in
   Firefox. Deze kwetsbaarheden kunnen misbruikt worden voor het
   uitvoeren van willekeurige code.
   
   - CVE-2016-5261
   Er bestaat een integer-overflow-kwetsbaarheid in het WebSockets
   subsysteem. Deze kwetsbaarheid kan misbruikt worden voor het
   uitvoeren van een Denial-of-Service of het uitvoeren van
   willekeurige code.
   
   - CVE-2016-5274,VE-2016-5276, CVE-2016-5277, CVE-2016-5280,
   CVE-2016-5281
   Er bestaan meerdere use-after-free-kwetsbaarheden in de
   browser-engine van Firefox. Deze kwetsbaarheden kunnen misbruikt
   worden voor het uitvoeren van willekeurige code.
   
   - CVE-2016-5272, CVE-2016-5273, CVE-2016-5278
   Er bestaan meerdere kwetsbaarheden die kunnen leiden tot een crash
   van firefox. Dit leidt tot een Denial-of-Service en mogelijk tot het
   uitvoeren van willekeurige code.
   
   - CVE-2016-5275
   Er bestaat een buffer-overflow-kwetsbaarheid in Firefox. Deze
   kwetsbaarheid kan misbruikt worden voor het uitvoeren van
   willekeurige code.
   
   - CVE-2016-5279
   Een path-disclosure-kwetsbaarheid stelt scripts in staat om het
   volledige pad naar lokale bestanden te achterhalen.
   
   - CVE-2016-5282
   Een kwetsbaarheid stelt een aanvaller in staat om een
   beveiligingsmaatregel te omzeilen.
   
   - CVE-2016-5250, CVE-2016-5283
   Deze kwetsbaarheden kunnen door een kwaadwillende gebruikt worden om
   gevoelige data te verkrijgen.
    
   - CVE-2016-5284
   Door deze kwetsbaarheid kan een kwaadwillende malafide
   add-on-updates sturen naar een kwetsbaar systeem. Deze add-on's
   moeten daarvoor wel al eerst geïnstalleerd zijn.

Mogelijke oplossingen
   -= CentOS =-
   CentOS heeft updates beschikbaar gesteld voor CentOS 5, 6 en 7 om de
   kwetsbaarheden te verhelpen. U kunt deze updates installeren met
   behulp van het commando 'yum'. Voor meer informatie en een eventueel
   handmatige installatie, zie:
   
   CentOS 5:
   https://lists.centos.org/pipermail/centos-announce/2016-September
      /022090.html
   
   CentOS 6:
   https://lists.centos.org/pipermail/centos-announce/2016-September
      /022088.html
   
   CentOS 7:
   https://lists.centos.org/pipermail/centos-announce/2016-September
      /022089.html
   
   -= Debian =-
   Debian heeft updates van firefox-esr beschikbaar gesteld voor Debian
   8.0 (Jessie) om de kwetsbaarheden te verhelpen. U kunt de aangepaste
   packages installeren door gebruik te maken van 'apt-get update' en
   'apt-get upgrade'. Meer informatie kunt u vinden op onderstaande
   pagina:
   
   https://www.debian.org/security/2016/dsa-3674
   
   -= Fedora =-
   Fedora heeft updates beschikbaar gesteld voor Fedora 23 en 24. U
   kunt deze updates installeren met behulp van het commando 'dnf' of
   'yum'. Meer informatie over deze updates en over een eventueel
   handmatige installatie vindt u op:
   
   23:
   https://lists.fedoraproject.org/archives/list
      /package-announce@lists.fedoraproject.org/thread
      /BMRVQYT4EQQEHWSXAP3MLHQI6CZRGE4Z/
   
   24:
   https://lists.fedoraproject.org/archives/list
      /package-announce@lists.fedoraproject.org/thread
      /ZXDJGIYODCHE3UHZQ5NGVM7S7RUYJJ5P/
   
   -= FreeBSD =-
   FreeBSD heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen in Firefox. U kunt deze updates installeren via
   freebsd-update. Meer informatie over deze updates vindt u op:
   
   http://www.vuxml.org/freebsd
      /2c57c47e-8bb3-4694-83c8-9fc3abad3964.html
   
   -= OpenSUSE =-
   De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om
   de kwetsbaarheid te verhelpen in OpenSUSE 13.2 en Leap 42.1. U kunt
   deze aangepaste packages installeren door gebruik te maken van
   'zypper'. U kunt ook gebruik maken van YAST of de updates handmatig
   downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer
   informatie, zie:
   
   https://lists.opensuse.org/opensuse-updates/2016-09/msg00083.html
   
   -= Red Hat =-
   Red Hat heeft updates beschikbaar gesteld voor Red Hat Enterprise
   Linux 5, 6 en 7. U kunt deze updates installeren met behulp van het
   commando 'yum'. Meer informatie over deze updates en over een
   eventueel handmatige installatie vindt u op:
   
   https://rhn.redhat.com/errata/RHSA-2016-1912.html
   
   -= Ubuntu =-
   Ubuntu heeft updates beschikbaar gesteld voor Ubuntu 12.04 LTS,
   14.04 LTS en 16.04 LTS om de kwetsbaarheden te verhelpen. U kunt de
   aangepaste packages installeren door gebruik te maken van 'apt-get
   update' en 'apt-get upgrade'. Meer informatie kunt u vinden op
   onderstaande pagina:
   
   http://www.ubuntu.com/usn/usn-3076-1/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8

wsDVAwUBV+pn8DeMwlgPRdL0AQg6Lwv9F4rCCoORJGgJFyEAOQjjR+YXYjvElBes
n1HXaGZ6E3rMPIuCVx2Vwmj2uqTSw+1Po1WVNkvBrdiC+pZuIqHd2V4oMvkq9m6w
wAVJTj3j4HkPZGgQ4zTzqC2VhPEjcaJvB2DuqrWevi0LfQ7ZCGOGxJ5fSk3SnwXE
OwK8dvUeJMTkCJGxPCDHYDITqRTEwlqG7D7tIY6f//OfEQEEeuZP7weS8WHcdWwN
0IrTCcGMpfl9K3ijpKCGv9zsLpaWW6Oaw7SDNxd9fHWVKXjn71cSpqTkORmdZRa+
hPWtIovP+TI0A4PQRBrVzahoAodm+xw7CW1RVlfdDW4wF13ONcUO74zrandA6XSZ
AC+BpQQZgkQ+ZKvg/LTB0Wk1Y32QkT+Z+2w1CFa6+WDnJgX50ejhnDuqz5Lkp/ka
gZb9NZFlyV5nOT0nme6F3v4KVdIjwkeWZp5koSir4zakH+Y1PkvJbHJfdvUWaBtY
vecwwyA7ahwDuhfXK/C6PisfdIcFkO2F
=9DYC
-----END PGP SIGNATURE-----

Wat is het NCSC?

NCSCstill

CSBN 2017

CSBN 2017