Vulnerability ID 5682

Mozilla Firefox bis 10.0.5 Cross Site Scripting

Mozilla
CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
6.0$0-$1k

Es wurde eine Schwachstelle in Mozilla Firefox, ein Webbrowser, gefunden. Sie wurde als kritisch eingestuft. Es geht dabei um eine unbekannte Funktion. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Dadurch lässt sich Script-Code injizieren. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 17.07.2012 durch Karthikeyan Bhargavan (moz_bug_r_a4) von Mozilla Corporation als MFSA 2012-46 in Form eines bestätigten Advisories (Website) publik gemacht. Das Advisory kann von mozilla.org heruntergeladen werden. Die Veröffentlichung geschah dabei in Koordination mit dem Hersteller. Die Verwundbarkeit wird seit dem 30.03.2012 unter CVE-2012-1966 geführt. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 59998 (CentOS 5 / 6 : firefox (CESA-2012:1088)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CentOS Local Security Checks zugeordnet.

Ein Upgrade auf die Version 14 vermag dieses Problem zu beheben. Eine neue Version kann von mozilla.org bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Mozilla hat also sofort reagiert.

Mitunter wird der Fehler auch in den Datenbanken von SecurityFocus (BID 54577), Secunia (SA49964), SecurityTracker (ID 1027258) und Vulnerability Center (SBV-35585) dokumentiert. Weiterführende Informationen auf Deutsch finden sich auf heise.de. Die Einträge 5669, 5670, 5671 und 5672 sind sehr ähnlich.

CVSSv3

Base Score: 6.3 [?]
Temp Score: 6.0 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 7.5 (CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P) [?]
Temp Score: 6.5 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: High

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Klasse: Cross Site Scripting (CWE-264)
Auswirkungen: Script-Code injizieren
Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Zugang: Privat

Aktuelle Preisschätzung: $10k-$25k (0-day) / $0-$1k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k


Nessus ID: 59998
Nessus Name: CentOS 5 / 6 : firefox (CESA-2012:1088)
Nessus File: centos_RHSA-2012-1088.nasl
Nessus Family: CentOS Local Security Checks
OpenVAS ID: 71490
OpenVAS Name: Debian Security Advisory DSA 2514-1 (iceweasel)
OpenVAS File: deb_2514_1.nasl
OpenVAS Family: Debian Local Security Checks

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Firefox 14

Timeline

30.03.2012 CVE zugewiesen
17.07.2012 +109 Tage Advisory veröffentlicht
17.07.2012 +0 Tage Gegenmassnahme veröffentlicht
17.07.2012 +0 Tage VulnerabilityCenter Eintrag zugewiesen
18.07.2012 +1 Tage NVD veröffentlicht
19.07.2012 +1 Tage OSVDB Eintrag erstellt
19.07.2012 +0 Tage VulnerabilityCenter Eintrag erstellt
25.07.2012 +6 Tage VulDB Eintrag erstellt
22.03.2015 +970 Tage VulnerabilityCenter Eintrag aktualisiert
08.07.2015 +109 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: MFSA 2012-46
Person: Karthikeyan Bhargavan (moz_bug_r_a4)
Firma: Mozilla Corporation
Status: Bestätigt
Bestätigung: mozilla.org
Koordiniert: Ja

CVE: CVE-2012-1966 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 54577 - Mozilla Firefox CVE-2012-1966 Cross Site Scripting Vulnerability
Secunia: 49964 - Debian update for iceweasel, Highly Critical
SecurityTracker: 1027258 - Mozilla Seamonkey Multiple Bugs Let Remote Users Execute Arbitrary Code, Spoof Web Sites, Obtain Information, and Conduct Cross-Site Scripting Attacks
Vulnerability Center: 35585 - Mozilla Firefox 4.0-13.0 and ESR 10.0-10.0.5 Cross Site Scripting Vulnerability via a Crafted URL, Medium
OSVDB: 84009 - Mozilla Firefox Context Menu Functionality data: URL XSS

Heise: 1644037
Siehe auch: 5669, 5670, 5671, 5672, 5673, 5674, 5675, 5676, 5677, 5678, 5681, 5685, 5686

Eintrag

Erstellt: 25.07.2012
Aktualisierung: 08.07.2015
Eintrag: 94.4% komplett