Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is gemiddeld Schadeniveau is hoog NCSC-2017-0853 [1.05]

Mozilla verhelpt kwetsbaarheden in Firefox en Thunderbird

11-10-2017 - Mozilla verhelpt kwetsbaarheden in nieuwe versies van Firefox en Thunderbird. Verschillende fabrikanten hebben updates beschikbaar gesteld om de kwetsbaarheden te verhelpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.05 #############################

Titel           : Mozilla verhelpt kwetsbaarheden in Firefox en
                  Thunderbird
Advisory ID     : NCSC-2017-0853
Versie          : 1.05
Kans            : medium
CVE ID          : CVE-2017-7793, CVE-2017-7805, CVE-2017-7810,
                  CVE-2017-7811, CVE-2017-7812, CVE-2017-7813,
                  CVE-2017-7814, CVE-2017-7815, CVE-2017-7816,
                  CVE-2017-7817, CVE-2017-7818, CVE-2017-7819,
                  CVE-2017-7820, CVE-2017-7821, CVE-2017-7822,
                  CVE-2017-7823, CVE-2017-7824, CVE-2017-7825
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Cross-Site Scripting (XSS)
                  Denial-of-Service (DoS)
                  Omzeilen van beveiligingsmaatregel
                  Remote code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20171011
Toepassing      : Mozilla Firefox
                  Mozilla Thunderbird
Versie(s)       : 
Platform(s)     : CentOS
                  Debian
                  FreeBSD
                  OpenSUSE
                  Oracle Enterprise Linux
                  Red Hat
                  SUSE Linux Enterprise
                  Ubuntu

Update
   SUSE heeft updates uitgebracht om een aantal van de kwetsbaarheden
   te verhelpen. Ook heeft Ubuntu updates uitgebracht om een aantal van
   de kwetsbaarheden te verhelpen. Zie "Mogelijke oplossingen" voor
   meer informatie.

Samenvatting
   Mozilla verhelpt kwetsbaarheden in nieuwe versies van Firefox en
   Thunderbird. Verschillende fabrikanten hebben updates beschikbaar
   gesteld om de kwetsbaarheden te verhelpen.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheden mogelijk misbruiken om
   willekeurige code uit te voeren onder de rechten van een gebruiker,
   om beveiligingsmaatregelen te omzeilen, om gevoelige gegevens te
   verkrijgen of om een Cross-Site Scripting (XSS) aanval uit te
   voeren.

Beschrijving
   - CVE-2017-7793
   Er bevindt zich een Use-after-free kwetsbaarheid in de Fetch API. De
   kwetsbaarheid kan worden uitgebuit als een worker of een
   geassocieerd venster vrijgegeven wordt als zij nog steeds in gebruik
   zijn. Uitbuiting van de kwetsbaarheid kan leiden tot een crash van
   Firefox.
   
   - CVE-2017-7817
   Er bevindt zich een spoofing kwetsbaarheid in Firefox voor Android.
   Een pagina kan naar fullscreen mode gaan zonder
   gebruikersnotificatie. Dit geeft een kwaadwillende de mogelijkheid
   om een verkeerd adres in de adresbalk weer te geven en zo een
   gebruiker te misleiden. Deze kwetsbaarheid is alleen in FireFox voor
   Android aanwezig. Firefox op andere besturingssystemen is niet
   kwetsbaar.
   
   - CVE-2017-7818: 
   Er bevindt zich use-after-free kwetsbaarheid in de code die
   elementen uit de arrays van Accessible Rich Internet Applications
   (ARIA) manipuleert in containers van het Document Object Model
   (DOM). Uitbuiting van deze kwetsbaarheid kan leiden tot een crash
   van Firefox.
   
   - CVE-2017-7819
   Er bevindt zich een use-after-free kwetsbaarheid in de design mode
   van Firefox. Als de grootte van objecten wordt veranderd en
   gelijktijdig het geheugen wordt vrijgegeven crashed Firefox. 
   
   - CVE-2017-7824
   Een buffer-overflow kan optreden bij het tekenen en valideren van
   elementen uit de ANGLE-graphics-bibiliotheek die gebruikt wordt voor
   WEBGL-inhoud. Tijdens controles binnen de bibliotheek wordt een
   incorrecte waarde doorgegeven die kan leiden tot een crash van
   Firefox.
   
   - CVE-2017-7805
   Een use-after-free kwetsbaarheid bevindt zich in de code die
   geheugen alloceert voor handshake-hashes die tijdens de TLS 1.2
   initiatie worden gegenereerd. Uitbuiting van deze kwetsbaarheid kan
   leiden tot een crash van Firefox.
   
   - CVE-2017-7812
   Als een gebruiker web-inhoud verplaatst met behulp van
   "drag-and-drop" functionaliteit naar bijvoorbeeld de tab-balk kunnen
   onbedoeld links worden geopend. Door het gebruik van malafide
   web-inhoud kunnen kwaadwillenden lokaal opgeslagen bestanden openen.
   
   - CVE-2017-7814
   Bestand-downloads die gecodeerd zijn met "blob:" en "data:" kunnen
   de controles die worden uitgevoerd bij normale downloads omzeilen.
   Kwaadwillenden kunnen gebruikers misleiden om malware te downloaden
   en uit te voeren die anders geblokkeerd zouden worden.
   
   - CVE-2017-7813
   De JavaScript parser kan tijdens de omzetting (cast) van een integer
   naar een kleiner datatype data lezen buiten de buffer waarin de
   operatie plaatsvindt. Uitbuiting van deze kwetsbaarheid kan leiden
   tot een crash van Firefox. Ook bestaat de mogelijkheid dat een
   beperkte hoeveelheid geheugen ingezien kan worden die niet
   toegankelijk zou moeten zijn.
   
   - CVE-2017-7825: 
   Bepaalde lettertypen in OS X laten Tibetaanse en Arabische karakters
   zien als whitespaces. Een kwaadwillende kan door gebruik van deze
   karakters als onderdeel van een International Domain Name (IDN) een
   spoofing aanval uitvoeren. Deze kwetsbaarheid bevindt zich alleen in
   de OS X versie van Firefox.
   
   - CVE-2017-7815
   Pagina's die een iframe bevatten kunnen het "data:"-protocol
   gebruiken om een modal dialog te creëren in JavaScript. Deze
   dialogen kunnen willekeurige domeinen als locatie hebben die niet
   overeenkomen met het domein dat zichtbaar is voor de gebruiker. Deze
   kwetsbaarheid komt alleen voor in FireFox installaties die e10
   multiprocess niet hebben geactiveerd. Deze optie is standaard wel
   geactiveerd.
   
   - CVE-2017-7816
   WebExtensions kunnen in popups en panels in de extension User
   Interface (UI) URL's laden die beveiligingsmaatregelen omzeilen. 
   
   - CVE-2017-7821 
   Een kwetsbaarheid in WebExtensions maakt het mogelijk om niet
   uitvoerbare bestanden te downloaden zonder gebruikersinteractie.
   Deze kwetsbaarheid kan gebruikt worden om kwetsbaarheden uit te
   buiten in de programma's die bepaalde documenttypen laden.
   
   - CVE-2017-7823
   De content-security-policy (CSP) sandbox bevat een kwetsbaarheid die
   een Cross-Site Scripting aanval mogelijk maakt. 
   
   - CVE-2017-7822
   De AES-GCM implementatie in WebCrypto accepteert voor een specifieke
   parameter lengte 0 waar dit minimaal een lengte 1 zou moeten zijn
   zoals de NIST specificatie voorschrijft. Dit zou onder bepaalde
   condities kunnen leiden tot het achterhalen van van de authenticatie
   sleutel.
   
   - CVE-2017-7820
   De "instanceof" operator kan het Xray wrapper mechanisme omzeilen
   als web-inhoud van de browser of een extension zijn eigen resultaat
   voor die operator kan teruggeven. Deze kwetsbaarheid kan er toe
   leiden dat de browser of extension een element niet goed
   interpreteert en verkeerd afhandeld.
   
   - CVE-2017-7811,CVE-2017-7810
   Verschillende geheugenbeveilingsproblemen zijn verholpen die
   mogelijk konden leiden tot het uitvoeren van code op afstand.

Mogelijke oplossingen
   -= CentOS =-
   CentOS heeft updates beschikbaar gesteld voor CentOS 6 en 7 om de
   kwetsbaarheden te verhelpen. U kunt deze updates installeren met
   behulp van het commando 'yum'. Voor meer informatie en een eventueel
   handmatige installatie, zie:
   
   https://access.redhat.com/errata/RHSA-2017:2831
   
   -= Debian =-
   Debian heeft updates van fireforx-esr beschikbaar gesteld voor
   Debian 8.0 (Jessie) en Debian 9.0 (Stretch) om de kwetsbaarheden te
   verhelpen. U kunt de aangepaste packages installeren door gebruik te
   maken van 'apt-get update' en 'apt-get upgrade'. Meer informatie
   kunt u vinden op onderstaande pagina:
   
   https://www.debian.org/security/2017/dsa-3987
   
   -= FreeBSD =-
   FreeBSD heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen. U kunt deze updates installeren uit de FreeBSD ports.
   Meer informatie over deze updates vindt u via:
   
   http://www.vuxml.org/freebsd
      /1098a15b-b0f6-42b7-b5c7-8a8646e8be07.html
   
   -= Mozilla =-
   Mozilla heeft Firefox ESR 52.4 en 56 uitgebracht om de
   kwetsbaarheden te verhelpen. U kunt deze nieuwe versie van Firefox
   installeren via de 'Check for Updates' functie van Firefox. Meer
   informatie over de kwetsbaarheden vindt u 
   
   voor versie ESR 52.4 via:
   https://www.mozilla.org/en-US/security/advisories/
     mfsa2017-22/
   
   voor versie 56 via:
   https://www.mozilla.org/en-US/security/advisories/
     mfsa2017-21/
   
   -= OpenSUSE =-
   De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om
   de kwetsbaarheden met kenmerk CVE-2017-7793, CVE-2017-7805,
   CVE-2017-7810, CVE-2017-7814, CVE-2017-7818, CVE-2017-7819,
   CVE-2017-7823 en CVE-2017-7824 te verhelpen in OpenSUSE Leap 42.2 en
   Leap 42.3. U kunt deze aangepaste packages installeren door gebruik
   te maken van 'zypper'. U kunt ook gebruik maken van YAST of de
   updates handmatig downloaden van de OpenSUSE downloadserver
   (download.opensuse.org). Voor meer informatie, zie:
   
   https://lists.opensuse.org/opensuse-updates/2017-10/msg00003.html
   
   -= Oracle Linux =-
   Oracle Linux heeft updates beschikbaar gesteld voor Oracle Linux 6
   en Oracle Linux 7. Meer informatie over deze updates en over een
   eventueel handmatige installatie vindt u
   
   voor Firefox via:
   http://linux.oracle.com/errata/ELSA-2017-2831.html
   
   voor nss (een onderliggende functie-bibliotheek) via:
   https://linux.oracle.com/errata/ELSA-2017-2832.html
   
   -= Red Hat =-
   Red Hat heeft updates beschikbaar gesteld voor Red Hat Enterprise
   Linux. U kunt deze updates installeren met behulp van het commando
   'yum'. Meer informatie over deze updates en over een eventueel
   handmatige installatie vindt 
   
   voor versie 52.4.0 ESR via:
   https://access.redhat.com/errata/RHSA-2017:2831
   
   voor nss (een onderliggende functie-bibliotheek) via:
   https://access.redhat.com/errata/RHSA-2017:2832
   
   -= SUSE =-
   SUSE heeft updates beschikbaar gesteld om de kwetsbaarheden met
   CVE-ID'S: CVE-2017-7793, CVE-2017-7805, CVE-2017-7810,
   CVE-2017-7814, CVE-2017-7818, CVE-2017-7819, CVE-2017-7823,
   CVE-2017-7824, CVE-2017-7825 te verhelpen in SUSE 12. U kunt deze
   aangepaste packages installeren door gebruik te maken van 'YaST'. U
   kunt de packages ook handmatig downloaden van de SUSE FTP-server
   (ftp.suse.com). Voor meer informatie, zie:
   
   http://lists.suse.com/pipermail/sle-security-updates/2017-October
      /003282.html
   
   -= Ubuntu =-
   Ubuntu heeft updates beschikbaar gesteld voor Ubuntu 14.04 LTS,
   16.04 LTS en 17.04 om de kwetsbaarheden te verhelpen. U kunt de
   aangepaste packages installeren door gebruik te maken van 'apt-get
   update' en 'apt-get upgrade'. Meer informatie kunt u vinden op
   onderstaande pagina:
   
   https://usn.ubuntu.com/usn/usn-3435-1/
   https://usn.ubuntu.com/usn/usn-3435-2/
   
   Ook hebben de ontwikkelaars van Ubuntu updates beschikbaar gesteld
   voor Thunderbird voor Ubuntu 14.04 LTS, 16.04 LTS en 17.04 om de
   kwetsbaarheden met CVE-ID's CVE-2017-7793, CVE-2017-7805,
   CVE-2017-7810, CVE-2017-7814, CVE-2017-7818, CVE-2017-7819,
   CVE-2017-7823, CVE-2017-7824 te verhelpen. Meer informatie kunt u
   vinden op onderstaande pagina:
   
   https://usn.ubuntu.com/usn/usn-3436-1/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 21495)
Charset: utf-8

wsDVAwUBWd4kSShuEbXFfhL2AQhmYwv+IXvbF52/xVZfyeL6WbwH/DUfwhv8XR1k
FriyfQOwGwUN6PIJmZva16YQnHIJCNPnVgKdl7vA0gO5g7w9PMiGZalIc9GsN7Rv
lu8HRsWLl+zdApuIfcPTfWsUjyHiky46r0B+0WYuuE0yjl1j0ZpHPaXT/EHCgBj5
CXGA49Fl5xf5Gn45w+0UbGZnxG6bUwzBPqZ+TnXbCm7k7CKDqzBZPdUCCI4DvE+Y
9FCLNvUMhBtxVCvJxx2eXKLSlUZf1GpinedonXJPTdV63BG1PRO6Fjh+9UtmHuIA
1VXrhjrkyLost7m9R3ZhV2KTNUcSKjZ/fn+u53jnwCx+b/cpONgTWdMzOaktkGkZ
yRJk0UQ/5bdyAoltlzouEx2QK93BEls3Uc1oydMoaJiO2cLPq5MwTLO2NQ2jZ/oi
9hIDVPDiK7n+59Qi8n369QpT3cnJID+AnKXVNZ2P8TnFLZtXVF1Ny3eQusbcvjTD
CtoEtAHAzaNtBSyEM2h667ucZR3B/xKu
=ImS7
-----END PGP SIGNATURE-----

Over het NCSC

NCSCstill

CSBN 2017

CSBN 2017