CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
6.6 | $0-$5k | 0.00 |
Mozilla Firefox ist ein freier Webbrowser des Mozilla-Projekt der seit kurzem in Version 3 vorliegt. Neuerungen: neue plattformspezifische Standardmotive (theme) für die Benutzeroberfläche, verbesserte Adresszeile, neuer Passwortmanager basierend auf Javascript, neue Javascript-Bibliothek für Entwicklung von Erweiterungen, animierte PNG, Warnung bei Weiterleitungen, Acid2-Test bestanden, Umstellung auf Cairo, Zoom-Funktion für Text- und Grafikinhalte, SOAP-Unterstützung verworfen, überarbeitete Lesezeichenverwaltung (Places-Bookmarks), Schutz vor Schadsoftware, Bezug automatischer Updates nur noch über gesicherte Verbindungen oder mit einer digitalen Signatur, überarbeiteter Download-Manager, beschleunigte Javascript-Verarbeitung und Unterstützung von Farbprofilen. Neben diesen funktionalen Neuerungen entdeckte Billy Rios auch eine Schwachstelle, bei der file:// und chrome:// Verknüpfungen ohne zutun des Benutzers aktiviert werden können, was unter Umständen zur Umgehung von Sicherheitsmassnahmen führen kann. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (43832) und Tenable (43699) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 3734, 3786 und 43270.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 43699 (CentOS 5 : firefox (CESA-2008:0597)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CentOS Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 119095 (Red Hat Update for Firefox (RHSA-2008:0597)) zur Prüfung der Schwachstelle an.
Zwei Schwachstelle gibt es derzeit im neusten Spross der Firefox Familie zu beklagen. Beide lassen sich aber glücklicherweise durch ein simples Update auf die bereits verfügbare Version 3.0.1 lösen, was hier auch als empfohlene Gegenmassnahme erwähnt sei.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.6VulDB Meta Temp Score: 6.6
VulDB Base Score: 7.6
VulDB Temp Score: 6.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 43699
Nessus Name: CentOS 5 : firefox (CESA-2008:0597)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 61365
OpenVAS Name: Debian Security Advisory DSA 1614-1 (iceweasel)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: mozilla.org
Timeline
30.06.2008 🔍15.07.2008 🔍
16.07.2008 🔍
16.07.2008 🔍
16.07.2008 🔍
17.07.2008 🔍
12.08.2008 🔍
16.03.2021 🔍
Quellen
Hersteller: mozilla.orgProdukt: mozilla.org
Advisory: MFSA2008-35
Person: Billy Rios
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2008-2933 (🔍)
OVAL: 🔍
X-Force: 43832 - Mozilla Firefox chrome: and file: command line URI security bypass, Medium Risk
SecurityTracker: 1020500 - Mozilla Firefox Command-line URL Processing Bug Lets Remote Users Open Tabs and Execute Arbitrary Code
SecurityFocus: 30242 - Mozilla Firefox URI Splitting Security Bypass Vulnerability
Secunia: 31120 - Mozilla Firefox 2 URI Launching Vulnerability, Less Critical
OSVDB: 47465 - Mozilla Firefox Command-line URI Handling Pipe Character Arbitrary File Access
Vupen: ADV-2009-0977
Siehe auch: 🔍
Eintrag
Erstellt: 12.08.2008 16:20Aktualisierung: 16.03.2021 17:23
Anpassungen: 12.08.2008 16:20 (82), 31.01.2018 09:54 (4), 16.03.2021 17:16 (7), 16.03.2021 17:23 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.