| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.9 | $0-$5k | 0.00 |
Das Mozilla-Projekt versucht einen open-source Webbrowser zur Verfügung zu stellen. Der Mozilla Webbrowser erlangte seit der Veröffentlichung der ersten offiziellen Versionen immer mehr Akzeptanz. Robert Chapin hat eine Sicherheitslücke in den aktuellen Versionen bis 2.0.0 gefunden. Der Password Manager ist in der Lage, genutzte Passwörter zu speichern und diese beim erneuten Aufruf einer Webseite automatisch einzusetzen. Dieser Mechanismus führt jedoch keine umfassende Überprüfung der URL durch, womit eine Ressource die gespeicherten Daten einer anderen Ressource auslesen kann. Ein Exploit wurde zusammen mit der Meldung herausgegeben. Als Workaround wird empfohlen, auf das Nutzen des Password Managers vorerst, bis zum Erscheinen eines Bugfixes, zu verzichten. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (30470) und Tenable (67454) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: 2943, 2963, 11812 und 35438.
Für den Vulnerability Scanner Nessus wurde am 12.07.2013 ein Plugin mit der ID 67454 (Oracle Linux 4 : thunderbird (ELSA-2007-0078)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Oracle Linux Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 156209 (Oracle Enterprise Linux Update for Thunderbird (ELSA-2007:0078)) zur Prüfung der Schwachstelle an.
Schon wieder eine Vielzahl an Sicherheitslücken prasselt auf das Mozilla-Projekt nieder. Keine gute Werbung, in der Tat - Obschon Mozilla immerwieder als Alternative zum beschmutzten Microsoft Internet Explorer empfohlen wird, wird voraussichtlich über längere Zeit auch das Mozilla-Pendant seine weisse Weste nicht sauber halten können. Es scheint, als müsse der sichere Webbrowser erst noch entwickelt werden, denn Mozilla bringt die gleichen (Kinder-)Krankheiten mit, wie auch schon viele vergleichbare Projekte zuvor.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 3.9
VulDB Base Score: 4.3
VulDB Temp Score: 3.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 67454
Nessus Name: Oracle Linux 4 : thunderbird (ELSA-2007-0078)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 58468
OpenVAS Name: Debian Security Advisory DSA 1336-1 (mozilla-firefox)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: DisableStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: mozilla.com
PaloAlto IPS: 🔍
Timeline
22.11.2006 🔍22.11.2006 🔍
22.11.2006 🔍
22.11.2006 🔍
24.11.2006 🔍
24.11.2006 🔍
24.11.2006 🔍
27.11.2006 🔍
29.11.2006 🔍
23.02.2007 🔍
22.07.2007 🔍
23.07.2007 🔍
12.07.2013 🔍
11.07.2019 🔍
Quellen
Hersteller: mozilla.orgProdukt: mozilla.org
Advisory: info-svc.com
Person: Robert Chapin (moz_bug_r_a4)
Firma: Martijn Wargers
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2006-6077 (🔍)
OVAL: 🔍
X-Force: 30470 - Mozilla Firefox Password Manager information disclosure, Low Risk
SecurityTracker: 1017271
Vulnerability Center: 13173 - Mozilla Firefox Password Manager and Netscape Passcard Manager Remote Disclosure of Passwords, Medium
SecurityFocus: 22694 - Mozilla Thunderbird/SeaMonkey/Firefox Multiple Remote Vulnerabilities
Secunia: 25588 - Debian update for mozilla-firefox, Highly Critical
OSVDB: 30641 - Multiple Browser Password Manager Crafted Form Cross-Site Password Disclosure
Vupen: ADV-2007-0718
Siehe auch: 🔍
Eintrag
Erstellt: 27.11.2006 09:48Aktualisierung: 11.07.2019 09:46
Anpassungen: 27.11.2006 09:48 (107), 11.07.2019 09:46 (1)
Komplett: 🔍
Cache ID: 3:0B1:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.