Mozilla verhelpt kwetsbaarheden in Firefox en Thunderbird

Mozilla verhelpt kwetsbaarheden in nieuwe versies van Firefox. Er zijn updates beschikbaar gesteld om de kwetsbaarheden te verhelpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.14 #############################

Titel           : Mozilla verhelpt kwetsbaarheden in Firefox en
                  Thunderbird
Advisory ID     : NCSC-2017-0977
Versie          : 1.14
Kans            : medium
CVE ID          : CVE-2017-7826, CVE-2017-7827, CVE-2017-7828,
                  CVE-2017-7830, CVE-2017-7831, CVE-2017-7832,
                  CVE-2017-7833, CVE-2017-7834, CVE-2017-7835,
                  CVE-2017-7836, CVE-2017-7837, CVE-2017-7838,
                  CVE-2017-7839, CVE-2017-7840, CVE-2017-7842
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Cross-Site Scripting (XSS)
                  Denial-of-Service (DoS)
                  Omzeilen van beveiligingsmaatregel
                  Remote code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20171231
Toepassing      : Mozilla Firefox
                  Mozilla Thunderbird
Versie(s)       : 
Platform(s)     : Fedora
                  FreeBSD
                  Linux
                  Red Hat Linux
                  SUSE Linux Enterprise

Update
   De ontwikkelaars van Debian hebben updates beschikbaar gesteld om de
   kwetsbaarheden met kenmerk CVE-2017-7826, CVE-2017-7828 en
   CVE-2017-7830 te verhelpen in Thunderbird voor Debian 8 en 9. Zie
   "Mogelijk oplossingen" voor meer informatie.

Samenvatting
   Mozilla verhelpt kwetsbaarheden in nieuwe versies van Firefox. Er
   zijn updates beschikbaar gesteld om de kwetsbaarheden te verhelpen.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheden mogelijk misbruiken om
   willekeurige code uit te voeren onder de rechten van een gebruiker,
   om beveiligingsmaatregelen te omzeilen, om gevoelige gegevens te
   verkrijgen of om domeinspoofing uit te voeren.

Beschrijving
   Alleen de medium en high CVE's worden hieronder beschreven.
   
   - CVE-2017-7826, CVE-2017-7827
   Er bevindt zich een geheugen-kwetsbaarheid in Firefox. Deze kan
   mogelijk door een kwaadwillende misbruikt worden om code uit te
   voeren onder gebruikersrechten. 
   
   - CVE-2017-7828
   Door een use-after-free-kwetsbaarheid in PressShell kan het
   veranderen van de layout mogelijk leiden tot een Denial-of-Service.
   
   - CVE-2017-7830
   Er bevindt zich een Cross-Origin-kwetsbaarheid in de Resource Timing
   API waardoor de same-origin policy geschonden wordt.
   
   - CVE-2017-7831
   Er bevindt zich een mogelijk informatie-lek in het verouderde
   exposedProps mechanisme.
   
   - CVE-2017-7832
   Dit betreft een domain-spoofing-kwetsbaarheid gerelateerd aan de
   letter I.
   
   - CVE-2017-7833
   Dit betreft een domain-spoofing kwetsbaarheid bij het gebruik van
   non-latin karakters.
   
   - CVE-2017-7834
   Door een kwetsbaarheid in "data: URL" wordt niet voldaan aan de
   Content Security Policy (CSP) bij het openen van nieuwe tabbladen.
   
   - CVE-2017-7835
   Mixed content blocking wordt niet altijd correct toegepast wanneer
   verkeer geredirect wordt van http naar https.
   
   - CVE-2017-7836
   Er is een dll-load-kwetsbaarheid in de Pingsender component van
   Firefox. Dit kan door een lokale kwaadwillende mogelijk misbruikt
   worden voor het laden van een malafide dll.

Mogelijke oplossingen
   Mozilla heeft Firefox 52.5, ESR 52.5 en 57 uitgebracht om de
   kwetsbaarheden te verhelpen. U kunt deze nieuwe versie van Firefox
   installeren via de 'Check for Updates' functie van Firefox. Meer
   informatie over de kwetsbaarheden vindt u hier:
      
   Firefox 57:
   https://www.mozilla.org/en-US/security/advisories/mfsa2017-24/
   
   Firefox ESR 52.5:
   https://www.mozilla.org/en-US/security/advisories/mfsa2017-25/
   
   Firefox 52.5:
   https://www.mozilla.org/en-US/security/advisories/mfsa2017-26/
   
   -= CentOS =-
   CentOS heeft updates beschikbaar gesteld voor CentOS 6 en 7 om de
   kwetsbaarheden met kenmerk CVE-2017-7826, CVE-2017-7828 en
   CVE-2017-7830 te verhelpen in Firefox en Thunderbird. U kunt deze
   updates installeren met behulp van het commando 'yum'. Voor meer
   informatie en een eventueel handmatige installatie, zie:
   
   CentOS 6, Firefox:
   https://lists.centos.org/pipermail/centos-announce/2017-November
      /022627.html
   
   CentOS 6, Thunderbird:
   https://lists.centos.org/pipermail/centos-announce/2017-December
      /022686.html
   
   CentOS 7, Firefox:
   https://lists.centos.org/pipermail/centos-announce/2017-November
      /022628.html
   
   CentOS 7, Thunderbird:
   https://lists.centos.org/pipermail/centos-announce/2017-December
      /022681.html
   
   -= Debian =-
   Debian heeft updates van firefox-esr beschikbaar gesteld voor Debian
   8.0 (Jessie) en Debian 9.0 (Stretch) om de kwetsbaarheden te
   verhelpen. Tevens zijn er updates beschikbaar om de kwetsbaarheden
   met kenmerk CVE-2017-7826, CVE-2017-7828 en CVE-2017-7830 te
   verhelpen in Thunderbird. U kunt de aangepaste packages installeren
   door gebruik te maken van 'apt-get update' en 'apt-get upgrade'.
   Meer informatie kunt u vinden op onderstaande pagina:
   
   Firefox-ESR:
   https://www.debian.org/security/2017/dsa-4035
   
   Thunderbird:
   https://www.debian.org/security/2017/dsa-4075
   
   -= Fedora =-
   Fedora heeft updates beschikbaar gesteld voor Fedora 26 en 27. U
   kunt deze updates installeren met behulp van het commando 'dnf' of
   'yum'. Meer informatie over deze updates en over een eventueel
   handmatige installatie vindt u op:
   
   Fedora 26:
   https://lists.fedoraproject.org/archives/list
      /package-announce@lists.fedoraproject.org/message
      /PPVLAZPT2EAW3MXPSS4NXIAWWRO5GFOH/
   
   Fedora 27:
   https://lists.fedoraproject.org/archives/list
      /package-announce@lists.fedoraproject.org/message
      /4VRES445NP3OZB7CYT5KJSO72VLUVKJH/
   
   Fedora 26, Thunderbird:
   https://lists.fedoraproject.org/archives/list
      /package-announce@lists.fedoraproject.org/message
      /ZHVFJG3Y5EKN7JOKEESLLZHZQGXTYSXV/
   
   -= FreeBSD =-
   FreeBSD heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen in Firefox. U kunt deze updates installeren via
   freebsd-update. Meer informatie over deze updates vindt u op:
   
   http://www.vuxml.org/freebsd
      /f78eac48-c3d1-4666-8de5-63ceea25a578.html
   
   -= OpenSUSE =-
   De ontwikkelaars van OpenSUSE hebben een updates beschikbaar gesteld
   om de kwetsbaarheden met kenmerk CVE-2017-7826, CVE-2017-7828 en
   CVE-2017-7830 te verhelpen in OpenSUSE Leap 42.2 en Leap 42.3 voor
   Mozilla Firefox en Thunderbird. U kunt deze aangepaste packages
   installeren door gebruik te maken van 'zypper'. U kunt ook gebruik
   maken van YAST of de updates handmatig downloaden van de OpenSUSE
   downloadserver (download.opensuse.org). Voor meer informatie, zie:
   
   Firefox:
   https://lists.opensuse.org/opensuse-security-announce/2017-11
      /msg00028.html
   
   Thunderbird:
   https://lists.opensuse.org/opensuse-updates/2017-11/msg00085.html
   
   -= Oracle =-
   Oracle heeft patches uitgebracht voor Oracle Enterprise Linux 6 en
   7. Meer informatie vindt u in het beveiligingsadvies van Oracle:
   
   https://linux.oracle.com/errata/ELSA-2017-3247.html
   
   -= Red Hat =-
   Red Hat heeft updates beschikbaar gesteld om de kwetsbaarheden met
   kenmerk CVE-2017-7826, CVE-2017-7828 en CVE-2017-7830 te verhelpen
   in Red Hat Enterprise Linux 6 en 7. U kunt deze updates installeren
   met behulp van het commando 'yum'. Meer informatie over deze updates
   en over een eventueel handmatige installatie vindt u op:
   
   Firefox:
   https://access.redhat.com/errata/RHSA-2017:3247
   
   Thunderbird:
   https://access.redhat.com/errata/RHSA-2017:3372
   
   -= SUSE =-
   SUSE heeft updates beschikbaar gesteld om de kwetsbaarheden met
   kenmerk CVE-2017-7826, CVE-2017-7828 en CVE-2017-7830 in SUSE Linux
   Enterprise 11 en 12. U kunt deze aangepaste packages installeren
   door gebruik te maken van 'YaST'. U kunt de packages ook handmatig
   downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer
   informatie, zie:
   
   SUSE Linux Enterprise 11:
   http://lists.suse.com/pipermail/sle-security-updates/2017-December
      /003479.html
   
   SUSE Linux Enterprise 12:
   https://www.suse.com/support/update/announcement/2017
      /suse-su-20173213-1/-
   
   -= Ubuntu =-
   Ubuntu heeft updates van firefox en thunderbird beschikbaar gesteld
   voor Ubuntu 14.04 LTS, 16.04 LTS, 17.04 en 17.10 om meerdere
   kwetsbaarheden te verhelpen. U kunt de aangepaste packages
   installeren door gebruik te maken van 'apt-get update' en 'apt-get
   upgrade'. Meer informatie kunt u vinden op onderstaande pagina's:
   
   Firefox:
   https://usn.ubuntu.com/usn/usn-3477-3/
   
   Thunderbird:
   https://usn.ubuntu.com/usn/usn-3490-1/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.1 (Build 777)
Charset: utf-8
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=gj4/
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2017

Nederland digitaal veilig