Mozilla Firefox bis 13.0 Drag / Drop Feature schwache Authentisierung

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.8$0-$5k0.00

Eine Schwachstelle wurde in Mozilla Firefox (Web Browser) entdeckt. Sie wurde als kritisch eingestuft. Es geht hierbei um eine unbekannte Funktionalität der Komponente Drag / Drop Feature. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-290. Dies hat Einfluss auf die Integrität. Die Zusammenfassung von CVE lautet:

The drag-and-drop implementation in Mozilla Firefox 4.x through 13.0 and Firefox ESR 10.x before 10.0.6 allows remote attackers to spoof the address bar by canceling a page load.

Die Schwachstelle wurde am 17.07.2012 durch Mario Gomes von Code Audit Labs als MFSA 2012-43 in Form eines bestätigten Advisories (Website) herausgegeben. Bereitgestellt wird das Advisory unter mozilla.org. Eine Veröffentlichung wurde in Zusammenarbeit mit Mozilla angestrebt. Die Verwundbarkeit wird seit dem 30.03.2012 mit der eindeutigen Identifikation CVE-2012-1950 gehandelt. Das Ausnutzen gilt als leicht. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.

Er wird als proof-of-concept gehandelt. Für den Vulnerability Scanner Nessus wurde am 23.07.2012 ein Plugin mit der ID 802892 herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 120366 (Red Hat Update for Xulrunner Firefox (RHSA-2012:1088)) zur Prüfung der Schwachstelle an.

Ein Aktualisieren auf die Version 14 vermag dieses Problem zu lösen. Eine neue Version kann von mozilla.org bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Mozilla hat so sofort gehandelt.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (76977) und Tenable (802892) dokumentiert. Das deutsche IT-Nachrichtenportal Heise berichtet ebenfalls über den Fall. Mit dieser Schwachstelle verwandte Einträge finden sich unter 5668, 5669, 5670 und 5671.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 4.8

VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Schwache Authentisierung
CWE: CWE-290 / CWE-287
CAPEC: 🔍
ATT&CK: 🔍

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: Privat
Status: Proof-of-Concept

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 802892
Nessus Datei: 🔍
Nessus Risiko: 🔍

OpenVAS ID: 71490
OpenVAS Name: Debian Security Advisory DSA 2514-1 (iceweasel)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Upgrade: Firefox 14

Timelineinfo

30.03.2012 🔍
17.07.2012 +109 Tage 🔍
17.07.2012 +0 Tage 🔍
17.07.2012 +0 Tage 🔍
17.07.2012 +0 Tage 🔍
17.07.2012 +0 Tage 🔍
18.07.2012 +1 Tage 🔍
18.07.2012 +0 Tage 🔍
19.07.2012 +1 Tage 🔍
23.07.2012 +4 Tage 🔍
25.07.2012 +2 Tage 🔍
25.07.2012 +0 Tage 🔍
31.01.2018 +2016 Tage 🔍

Quelleninfo

Hersteller: mozilla.org
Produkt: mozilla.org

Advisory: MFSA 2012-43
Person: Mario Gomes
Firma: Code Audit Labs
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍

CVE: CVE-2012-1950 (🔍)
OVAL: 🔍

X-Force: 76977
SecurityTracker: 1027256 - Mozilla Firefox Multiple Bugs Let Remote Users Execute Arbitrary Code, Spoof Web Sites, Obtain Information, and Conduct Cross-Site Scripting Attacks
Vulnerability Center: 35681 - Mozilla Firefox 4.0 - 13.0 and Firefox ESR 10.0 - 10.0.5 Allows Spoofing, Medium
SecurityFocus: 54580 - Mozilla Firefox/Thunderbird/Seamonkey MFSA 2012-42 Multiple Memory Corruption Vulnerabilities
Secunia: 49964 - Debian update for iceweasel, Highly Critical
OSVDB: 84008

Heise: 1644037
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍

Eintraginfo

Erstellt: 25.07.2012 16:27
Aktualisierung: 31.01.2018 09:54
Anpassungen: 25.07.2012 16:27 (81), 31.01.2018 09:54 (13)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!