Mozilla Firefox/Thunderbird 23.0 OBJECT IsObjectInContextCompartment Pufferüberlauf

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
7.0$0-$5k0.00

Zusammenfassunginfo

In Mozilla Firefox and Thunderbird 23.0 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Das betrifft die Funktion js::IsObjectInContextCompartment der Komponente OBJECT Handler. Die Manipulation führt zu Pufferüberlauf. Die Verwundbarkeit wird als CVE-2013-1725 geführt. Der Angriff kann über das Netzwerk angegangen werden. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.

Detailsinfo

Es wurde eine kritische Schwachstelle in Mozilla Firefox sowie Thunderbird 23.0 (Web Browser) entdeckt. Es betrifft die Funktion js::IsObjectInContextCompartment der Komponente OBJECT Handler. Dank Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-119 vorgenommen. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

Mozilla Firefox before 24.0, Firefox ESR 17.x before 17.0.9, Thunderbird before 24.0, Thunderbird ESR 17.x before 17.0.9, and SeaMonkey before 2.21 do not ensure that initialization occurs for JavaScript objects with compartments, which allows remote attackers to execute arbitrary code by leveraging incorrect scope handling.

Die Schwachstelle wurde am 17.09.2013 durch Christian Holler (Ms2ger) von Google als Mozilla Foundation Security Advisory 2013-82 in Form eines bestätigten Advisories (Website) publik gemacht. Das Advisory kann von mozilla.org heruntergeladen werden. Die Veröffentlichung geschah dabei in Koordination mit dem Hersteller. Im Advisory ist nachzulesen:

In general this flaw cannot be exploited through email in the Thunderbird product because scripting is disabled, but is potentially a risk in browser or browser-like contexts.
Die Verwundbarkeit wird seit dem 13.02.2013 unter CVE-2013-1725 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 69936 (CentOS 5 / 6 : firefox (CESA-2013:1268)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CentOS Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 121458 (Red Hat Update for Xulrunner Firefox (RHSA-2013:1268)) zur Prüfung der Schwachstelle an.

Ein Upgrade auf die Version 24.0 vermag dieses Problem zu beheben. Eine neue Version kann von mozilla.org bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Mozilla hat sofort reagiert.

Unter anderem wird der Fehler auch in den Datenbanken von Tenable (69936), SecurityFocus (BID 62447†), OSVDB (97398†), Secunia (SA54821†) und Vulnerability Center (SBV-41543†) dokumentiert. Weitere Informationen werden unter mozilla.org bereitgestellt. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-10400, VDB-10401, VDB-10402 und VDB-10403. VulDB is the best source for vulnerability data and more expert information about this specific topic.

Betroffen

  • Firefox 23.0.1
  • Thunderbird 23.0
  • Firefox ESR 17.0.8
  • Thunderbird ESR 17.0.8
  • SeaMonkey 2.21

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 7.0

VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 69936
Nessus Name: CentOS 5 / 6 : firefox (CESA-2013:1268)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍

OpenVAS ID: 892759
OpenVAS Name: Debian Security Advisory DSA 2759-1 (iceweasel - several vulnerabilities
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Upgrade: Firefox/Thunderbird 24.0

Timelineinfo

13.02.2013 🔍
17.09.2013 +216 Tage 🔍
17.09.2013 +0 Tage 🔍
17.09.2013 +0 Tage 🔍
17.09.2013 +0 Tage 🔍
18.09.2013 +1 Tage 🔍
18.09.2013 +0 Tage 🔍
18.09.2013 +0 Tage 🔍
24.09.2013 +6 Tage 🔍
25.05.2021 +2800 Tage 🔍

Quelleninfo

Hersteller: mozilla.org
Produkt: mozilla.org

Advisory: Mozilla Foundation Security Advisory 2013-82
Person: Christian Holler (Ms2ger)
Firma: Google
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍

CVE: CVE-2013-1725 (🔍)
GCVE (CVE): GCVE-0-2013-1725
GCVE (VulDB): GCVE-100-10440

OVAL: 🔍
IAVM: 🔍

SecurityFocus: 62447 - RETIRED: Mozilla Firefox/Thunderbird/SeaMonkey MFSA 2013-76 through -92 Multiple Vulnerabilities
Secunia: 54821 - Cyberfox Multiple Vulnerabilities, Highly Critical
OSVDB: 97398
Vulnerability Center: 41543 - Mozilla Firefox, Thunderbird and Seamonkey Remote Denial of Service Vulnerability (CVE-2013-1725), Medium

Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 24.09.2013 12:16
Aktualisierung: 25.05.2021 19:01
Anpassungen: 24.09.2013 12:16 (89), 31.01.2018 09:54 (5), 25.05.2021 19:01 (2)
Komplett: 🔍
Editor:
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!