| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
Eine kritische Schwachstelle wurde in Mozilla Firefox (Web Browser) gefunden. Betroffen davon ist ein unbekannter Codeteil. Mittels Manipulieren mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-310. Dies hat Einfluss auf die Integrität. Die Zusammenfassung von CVE lautet:
Mozilla Firefox before 3.5.14 and 3.6.x before 3.6.11, Thunderbird before 3.0.9 and 3.1.x before 3.1.5, and SeaMonkey before 2.0.9 recognize a wildcard IP address in the subject s Common Name field of an X.509 certificate, which might allow man-in-the-middle attackers to spoof arbitrary SSL servers via a crafted certificate issued by a legitimate Certification Authority.Die Schwachstelle wurde am 21.10.2010 durch Richard Moore als Bug 578697 in Form eines nicht definierten Bug Reports (Bugzilla) herausgegeben. Bereitgestellt wird das Advisory unter bugzilla.mozilla.org. Die Verwundbarkeit wird seit dem 27.08.2010 mit der eindeutigen Identifikation CVE-2010-3170 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1600 aus.
Er wird als proof-of-concept gehandelt. Für den Vulnerability Scanner Nessus wurde am 13.06.2014 ein Plugin mit der ID 75648 (openSUSE Security Update : MozillaFirefox (MozillaFirefox-3422)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family SuSE Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 118663 (Red Hat Update for Xulrunner Firefox (RHSA-2010:0782)) zur Prüfung der Schwachstelle an.
Ein Aktualisieren auf die Version 1.0.9 vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (75648) dokumentiert. Die Schwachstellen 55196 und 55194 sind ähnlich.
Produkt
Typ
Hersteller
Name
Version
- 0.2
- 0.3
- 0.4
- 0.5
- 0.6
- 0.7
- 0.7.1
- 0.7.2
- 0.7.3
- 0.8
- 0.9
- 0.9.1
- 0.9.2
- 0.9.2.1
- 0.9.3
- 0.9.4
- 0.9.4.1
- 0.9.5
- 0.9.6
- 0.9.7
- 0.9.8
- 0.9.9
- 0.9.35
- 0.9.48
- 0.10
- 0.10.1
- 1
- 1.0
- 1.0.1
- 1.0.2
- 1.0.3
- 1.0.4
- 1.0.5
- 1.0.6
- 1.0.7
- 1.0.8
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 4.8
VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache VerschlüsselungCWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 75648
Nessus Name: openSUSE Security Update : MozillaFirefox (MozillaFirefox-3422)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 68457
OpenVAS Name: Debian Security Advisory DSA 2123-1 (nss)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Firefox 1.0.9
Timeline
27.08.2010 🔍27.08.2010 🔍
01.09.2010 🔍
07.09.2010 🔍
21.10.2010 🔍
21.10.2010 🔍
21.10.2010 🔍
13.06.2014 🔍
19.03.2015 🔍
27.09.2021 🔍
Quellen
Hersteller: mozilla.orgProdukt: mozilla.org
Advisory: Bug 578697
Person: Richard Moore
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2010-3170 (🔍)
OVAL: 🔍
IAVM: 🔍
Vulnerability Center: 27045 - Mozilla Firefox 3.6.9 and 3.5.12 NSS library Allows Wildcards in SSL Certificate IP Addresses, Medium
SecurityFocus: 42817 - Multiple Browser Wild Card Certificate Spoofing Vulnerability
Secunia: 41839 - Ubuntu update for nss, Moderately Critical
Vupen: ADV-2011-0061
Siehe auch: 🔍
Eintrag
Erstellt: 19.03.2015 14:37Aktualisierung: 27.09.2021 20:34
Anpassungen: 19.03.2015 14:37 (69), 03.03.2017 18:49 (14), 27.09.2021 20:34 (3)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.