Sårbarheter i Mozilla Firefox

Publisert: 28.09.2016 | Sist endret: 11.01.2017

Mozilla publiserte 20/09 to rapporter om sikkerhetsoppdateringer, MFSA-2016-86 [1] og MFSA-2016-85 [2].

Oppdateringene dekker flere sårbarheter for nettleseren Firefox. Det er ti sårbarheter i vanlige versjoner av Firefox hvor Mozilla vurder risikoen som "høy" og fire som vurderes som "kritiske".
Det er rapportert ni sårbarheter som er vurdert til å utgjøre "høy risiko" i Firefox ESR i tillegg til to som er vurdert som "kritiske".

Detaljer

CVE-2016-5284 gjør det mulig for en angriper å eksekvere vilkårlig kode dersom han kan kontrollere eller utgi seg for å være nettsiden Mozilla Add-ons ved å kontrollere ett gyldig sertifikat.

CVE-2016-5256 muliggjør minnekorrupsjon under visse omstendigheter. Denne sårbarheten gjelder ikke ESR-versjonen av Firefox.

CVE-2016-5275 muliggør en bufferoverskridelse ved bruk av tomme filter når man generer canvas. Denne sårbarheten gjelder ikke ESR-versjonen av Firefox.

CVE-2016-5257 består av flere sårbarheter i minnebehandling som trolig kan føre til eksekvering av vilkårlig kode ved utnyttelse.

CVE-2016-5278 kan føre til at Firefox slutter å virke som følge av bufferoverskridelse.

Utnyttelse

NorCERT er hittil ikke kjent med noen utnyttelse av disse sårbarhetene.

Sårbarhetene er tilstede i versjoner FØR:

  • Firefox ESR 45.4
  • Firefox 49

CVE referanser

  • CVE-2016-5284 (Høy)
  • CVE-2016-5256 (Kritisk) (Ikke i Firefox ESR)
  • CVE-2016-5275 (Kritisk) (Ikke i Firefox ESR)
  • CVE-2016-5257 (Kritisk)
  • CVE-2016-5278 (Kritisk)

Anbefalt handling

NorCERT anbefaler at virksomheter oppdaterer Firefox til minimum versjon 49 og alle versjoner av Firefox ESR til 45.4.

Eksterne kilder

  1. [1] https://www.mozilla.org/en-US/security/advisories/mfsa2016-86/
  2. [2] https://www.mozilla.org/en-US/security/advisories/mfsa2016-85/