Mozilla Firefox 14 auf Android __android_log_print dump Pufferüberlauf
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.2 | $0-$5k | 0.00 |
Eine Schwachstelle wurde in Mozilla Firefox 14 auf Android (Web Browser) ausgemacht. Sie wurde als kritisch eingestuft. Davon betroffen ist die Funktion dump der Komponente __android_log_print. Durch Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-119. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Mozilla Firefox before 15.0 on Android does not properly implement unspecified callers of the __android_log_print function, which allows remote attackers to execute arbitrary code via a crafted web page that calls the JavaScript dump function.Die Schwachstelle wurde am 28.08.2012 durch Blake Kaplan (vsemozhetbyt) von Mozilla als MFSA 2012-71 in Form eines bestätigten Advisories (Website) herausgegeben. Bereitgestellt wird das Advisory unter mozilla.org. Eine Veröffentlichung wurde in Zusammenarbeit mit Mozilla angestrebt. Die Verwundbarkeit wird seit dem 11.07.2012 mit der eindeutigen Identifikation CVE-2012-3979 gehandelt. Die Ausnutzbarkeit gilt als schwierig. Umgesetzt werden kann der Angriff über das Netzwerk. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Es sind technische Details sowie ein privater Exploit zur Schwachstelle bekannt.
Er wird als proof-of-concept gehandelt. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 61741 (FreeBSD : mozilla -- multiple vulnerabilities (2b8cad90-f289-11e1-a215-14dae9ebcf89)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet.
Ein Aktualisieren auf die Version 15 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Mozilla hat so sofort gehandelt.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (61741) dokumentiert. Unter bugzilla.mozilla.org werden zusätzliche Informationen bereitgestellt. Schwachstellen ähnlicher Art sind dokumentiert unter 6036, 6035, 6039 und 6040.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.0VulDB Meta Temp Score: 7.2
VulDB Base Score: 8.0
VulDB Temp Score: 7.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: Privat
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 61741
Nessus Name: FreeBSD : mozilla -- multiple vulnerabilities (2b8cad90-f289-11e1-a215-14dae9ebcf89)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 71829
OpenVAS Name: FreeBSD Ports: firefox
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: Firefox 15
Timeline
11.07.2012 🔍28.08.2012 🔍
28.08.2012 🔍
28.08.2012 🔍
28.08.2012 🔍
29.08.2012 🔍
29.08.2012 🔍
29.08.2012 🔍
29.08.2012 🔍
29.08.2012 🔍
02.09.2012 🔍
27.03.2021 🔍
Quellen
Hersteller: mozilla.orgProdukt: mozilla.org
Advisory: MFSA 2012-71
Person: Blake Kaplan (vsemozhetbyt)
Firma: Mozilla
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍
CVE: CVE-2012-3979 (🔍)
OVAL: 🔍
SecurityTracker: 1027450 - Mozilla Firefox Multiple Bugs Let Remote Users Execute Arbitrary Code
Vulnerability Center: 35988 - Mozilla Firefox Before 15 Remote DoS Vulnerability via a Crafted Web Page with \x27Dump()\x27 Statement, Medium
SecurityFocus: 55344 - Mozilla Firefox CVE-2012-3979 '__android_log_print' Remote Code Execution Vulnerability
Secunia: 50088 - Mozilla Firefox Multiple Vulnerabilities, Highly Critical
OSVDB: 85002
scip Labs: https://www.scip.ch/?labs.20130704
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 02.09.2012 13:14Aktualisierung: 27.03.2021 16:48
Anpassungen: 02.09.2012 13:14 (82), 19.04.2017 10:30 (13), 27.03.2021 16:48 (2)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.