Mozilla Firefox bis 2.0.0.1 LiveConnect JavaScript-Objekte Denial of Service

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.2$0-$5k0.00

Das Mozilla-Projekt versucht einen open-source Webbrowser zur Verfügung zu stellen. Der Mozilla Webbrowser erlangte seit der Veröffentlichung immer mehr an Akzeptanz. Gleich 10 schwerwiegende Schwachstellen wurden zeitgleich für die aktuellen Versionen veröffentlicht. Eine davon betrifft die LiveConnect. Unter gewissen Umständen könne dies im Zusammenhang mit JavaScript-Objekte für eine Denial of Service genutzt werden. Durch den Besuch einer korrupten Webseite sei es möglich, dass der Browser zum Absturz gebracht werden kann. Technische Details oder ein Exploit sind nicht bekannt. Dieses sowie die anderen Probleme wurden in den Versionen 1.5.0.9 und 2.0.0.1 behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (30992) und Tenable (67432) dokumentiert. Ein Bericht in deutscher Sprache wird unter anderem durch Heise bereitgestellt. Unter bugzilla.mozilla.org werden zusätzliche Informationen bereitgestellt. Von weiterem Interesse können die folgenden Einträge sein: 2770, 2771, 2777 und 2769.

Für den Vulnerability Scanner Nessus wurde am 12.07.2013 ein Plugin mit der ID 67432 (Oracle Linux 4 : thunderbird (ELSA-2006-0760)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Oracle Linux Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 156235 (Oracle Enterprise Linux Update for Firefox (ELSA-2006:0758)) zur Prüfung der Schwachstelle an.

Eine Vielzahl an Sicherheitslücken prasselt auf das Mozilla-Projekt nieder. Keine gute Werbung, in der Tat - Obschon Mozilla immerwieder als Alternative zum beschmutzten Microsoft Internet Explorer empfohlen wird, kann auch das Mozilla-Pendant seine weisse Weste nicht sauber halten. Es scheint, als müsse der sichere Webbrowser erst noch entwickelt werden, denn Mozilla bringt die gleichen (Kinder-)Krankheiten mit, wie auch schon viele vergleichbare Projekte zuvor. Und leider, so scheint es, werden es davon auch mit der Major-Vesion 2.0 nicht weniger.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.5
VulDB Meta Temp Score: 6.2

VulDB Base Score: 6.5
VulDB Temp Score: 6.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Denial of Service
CWE: CWE-404
ATT&CK: T1499

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 67432
Nessus Name: Oracle Linux 4 : thunderbird (ELSA-2006-0760)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍

OpenVAS ID: 57829
OpenVAS Name: Debian Security Advisory DSA 1253-1 (mozilla-firefox)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Patch: mozilla.org

Snort ID: 15999
TippingPoint: 🔍
PaloAlto IPS: 🔍

Timelineinfo

13.12.2006 🔍
19.12.2006 +6 Tage 🔍
19.12.2006 +0 Tage 🔍
19.12.2006 +0 Tage 🔍
19.12.2006 +0 Tage 🔍
19.12.2006 +0 Tage 🔍
20.12.2006 +0 Tage 🔍
20.12.2006 +0 Tage 🔍
21.12.2006 +1 Tage 🔍
27.01.2007 +37 Tage 🔍
12.07.2013 +2358 Tage 🔍
13.03.2021 +2801 Tage 🔍

Quelleninfo

Hersteller: mozilla.org
Produkt: mozilla.org

Advisory: MFSA2006-71
Person: Steven Michaud (moz_bug_r_a4)
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2006-6497 (🔍)
OVAL: 🔍

X-Force: 30992
SecurityTracker: 1017413 - Mozilla Firefox LiveConnect May Use Freed JavaScript Objects and Execute Arbitrary Code
Vulnerability Center: 13420 - Mozilla Web-Browsers Layout Engine Vulnerabilities, Medium
SecurityFocus: 21668 - Mozilla Firefox/SeaMonkey/Thunderbird Multiple Remote Vulnerabilities
Secunia: 23282 - Mozilla Firefox Multiple Vulnerabilities, Highly Critical
OSVDB: 31341 - Mozilla Multiple Products SVG Processing Remote Code Execution

Heise: 82789
Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 21.12.2006 10:15
Aktualisierung: 13.03.2021 18:04
Anpassungen: 21.12.2006 10:15 (94), 31.01.2018 09:52 (12), 13.03.2021 18:04 (2)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Interested in the pricing of exploits?

See the underground prices here!