Sårbarheter i Mozilla Firefox og Firefox ESR

Publisert: 17.11.2016 | Sist endret: 11.01.2017

Mozilla publiserte 15. november to sikkerhetsoppdateringer, MFSA-2016-89 [1] og MFSA-2016-90[2].

Disse oppdateringene tar for seg flere sårbarheter i nettleseren Firefox. Det er 12 sårbarheter i standard versjoner av Firefox hvor Mozilla vurder risikoen som "høy" og tre som vurderes å være "kritiske".
I Firefox ESR er det fem sårbarheter som er vurdert til å utgjøre "høy risiko", i tillegg til to som er vurdert som "kritiske".

Detaljer om de kritiske sårbarhetene

CVE ID Detaljer Risiko
CVE-2016-5289 Muliggjør minnekorrupsjon som kan utnyttes til å eksekvere
villkårlig kode. Gjelder kun Firefox, ikke ESR
Kritisk (Gjelder ikke for Firefox ESR)
CVE-2016-5290 Muliggjør minnekorrupsjon som kan utnyttes til å eksekvere
villkårlig kode.
Kritisk
CVE-2016-5296 Tar for seg en feil under SVG processering, som kan føre til heap-buffer-
overflow.
Kritisk

NorCERT er hittil ikke kjent med noen utnyttelse av disse sårbarhetene.

Sårbarhetene er tilstede i versjoner FØR:

  • Firefox ESR 45.5
  • Firefox 49

Anbefaling

NorCERT anbefaler at virksomheter oppdaterer alle versjoner av Firefox til versjon 49 eller nyere og alle versjoner av Firefox ESR versjon 45.5 hvor disse sårbarhetene skal være rettet.

  1. https://www.mozilla.org/en-US/security/advisories/mfsa2016-89/
  2. https://www.mozilla.org/en-US/security/advisories/mfsa2016-90/