Mozilla bis 1.7 und Mozilla Firefox bis 0.9 XPInstall Dialogbox Spoofing
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 2.8 | $0-$5k | 0.00 |
Das Mozilla-Projekt versucht einen open-source Webbrowser zur Verfügung zu stellen. Der Mozilla Webbrowser erlangte seit der Veröffentlichung der ersten offiziellen Versionen immer mehr Akzeptanz, kann jedoch in Punkto Marktanteile mit den anderen Grössen des Genres noch nicht mithalten. Jesse Ruderman meldet eine Schwachstelle in Mozilla bis 1.7 und Mozilla Firefox bis 0.9. Der Trick besteht darin, dass ein Benutzer eine Auswahl in einer Dialogbox trifft, ohne dies zu realisieren. Sicherheitsabfragen können so umgangen werden. Das genaue Vorgehen ist bis dato nicht bekannt. Das Problem wurde in den aktuellen Versionen Mozilla bis 1.7 und Mozilla Firefox bis 0.9 behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (16623) und Tenable (19068) dokumentiert. Weitere Informationen werden unter securiteam.com bereitgestellt. Von weiterem Interesse können die folgenden Einträge sein: 759, 773, 774 und 775.
Für den Vulnerability Scanner Nessus wurde am 13.07.2005 ein Plugin mit der ID 19068 (FreeBSD : mozilla -- users may be lured into bypassing security dialogs (a7e0d783-131b-11d9-bc4a-000c41e2cdad)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 115047 (Sun Solaris Mozilla Multiple Vulnerabilities) zur Prüfung der Schwachstelle an.
Die Gegner von open-source Projekten werden es gerne sehen, dass auch ein populäres Browser-Projekt aus diesem Bereich die eine oder andere wirklich unschöne Schwachstelle aufweist. In der Tat muss man es den Entwicklern anlasten, beim Design wenigstens in diesem Belang die Sicherheit aus den Augen verloren zu haben. Hätte Mozilla ein höheres Mass an Popularität, wäre diese Schwachstelle weit bedeutender; vor allem für Anbieter von Dialer sowie Skript-Kiddies. Es bleibt zu hoffen, dass dieses Projekt in Zukunft von derlei Fehlern verschont bleiben wird.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 3.1VulDB Meta Temp Score: 2.8
VulDB Base Score: 3.1
VulDB Temp Score: 2.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: UnbekanntCWE: Unbekannt
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 19068
Nessus Name: FreeBSD : mozilla -- users may be lured into bypassing security dialogs (a7e0d783-131b-11d9-bc4a-000c41e2cdad)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 53919
OpenVAS Name: Slackware Advisory SSA:2004-223-01 Mozilla
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: bugzilla.mozilla.org
Timeline
09.08.2002 🔍05.07.2004 🔍
05.07.2004 🔍
05.07.2004 🔍
05.07.2004 🔍
06.07.2004 🔍
02.08.2004 🔍
18.08.2004 🔍
30.09.2004 🔍
13.07.2005 🔍
28.06.2019 🔍
Quellen
Hersteller: mozilla.orgProdukt: mozilla.org
Advisory: Bug 162020
Person: Jesse Ruderman
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2004-0762 (🔍)
OVAL: 🔍
X-Force: 16623 - Mozilla XPInstall/Security dialog box code execution, Medium Risk
SecurityFocus: 10661 - Multiple Vendor Internet Browser User Action Prediction/Interception Weakness
Secunia: 11999 - Mozilla XPInstall Dialog Box Security Issue, Moderately Critical
OSVDB: 7466 - Mozilla XPInstall Dialog Box Arbitrary Command Execution
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 06.07.2004 11:09Aktualisierung: 28.06.2019 20:47
Anpassungen: 06.07.2004 11:09 (97), 28.06.2019 20:47 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.