Mozilla Firefox 26 JavaScript Engine window erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in Mozilla Firefox 26 gefunden. Das betrifft eine unbekannte Funktionalität der Komponente JavaScript Engine. Durch die Manipulation des Arguments window mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2014-1481. Der Angriff kann über das Netzwerk angegangen werden. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Es wurde eine kritische Schwachstelle in Mozilla Firefox 26 (Web Browser) entdeckt. Dabei betrifft es ein unbekannter Prozess der Komponente JavaScript Engine. Mit der Manipulation des Arguments window mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-264 vorgenommen. Das hat Auswirkungen auf Vertraulichkeit und Integrität. CVE fasst zusammen:
Mozilla Firefox before 27.0, Firefox ESR 24.x before 24.3, Thunderbird before 24.3, and SeaMonkey before 2.24 allow remote attackers to bypass intended restrictions on window objects by leveraging inconsistency in native getter methods across different JavaScript engines.Die Schwachstelle wurde am 04.02.2014 durch Boris Zbarsky von Mozilla Corporation als MFSA2014-13 in Form eines bestätigten Advisories (Website) publik gemacht. Das Advisory kann von mozilla.org heruntergeladen werden. Die Veröffentlichung geschah dabei in Koordination mit dem Hersteller. Die Verwundbarkeit wird seit dem 16.01.2014 unter CVE-2014-1481 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1068.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 72350 (CentOS 5 / 6 : firefox (CESA-2014:0132)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CentOS Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 121775 (Red Hat Update for Xulrunner Firefox (RHSA-2014:0132)) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 27 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Mozilla hat sofort reagiert.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (90883), Tenable (72350), SecurityFocus (BID 65326†), OSVDB (102863†) und Secunia (SA56706†) dokumentiert. Die Schwachstellen VDB-12169, VDB-12170, VDB-12171 und VDB-12173 sind ähnlich. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Betroffen
- Mozilla Firefox 26
- Mozilla Thunderbird 24.2
- Mozilla SeaMonkey 2.23
- Mozilla Firefox ESR 24.2
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.mozilla.org/
- Produkt: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.4VulDB Meta Temp Score: 6.1
VulDB Base Score: 5.4
VulDB Temp Score: 4.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Unbewiesen
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 72350
Nessus Name: CentOS 5 / 6 : firefox (CESA-2014:0132)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 702858
OpenVAS Name: Debian Security Advisory DSA 2858-1 (iceweasel - several vulnerabilities
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: Firefox 27
Timeline
16.01.2014 🔍04.02.2014 🔍
04.02.2014 🔍
04.02.2014 🔍
04.02.2014 🔍
05.02.2014 🔍
05.02.2014 🔍
06.02.2014 🔍
06.02.2014 🔍
25.11.2025 🔍
Quellen
Hersteller: mozilla.orgProdukt: mozilla.org
Advisory: MFSA2014-13
Person: Boris Zbarsky
Firma: Mozilla Corporation
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍
CVE: CVE-2014-1481 (🔍)
GCVE (CVE): GCVE-0-2014-1481
GCVE (VulDB): GCVE-100-12168
OVAL: 🔍
IAVM: 🔍
X-Force: 90883 - Mozilla Firefox,Thunderbird and SeaMonkey JavaScript engines security bypass, Medium Risk
SecurityFocus: 65326 - Mozilla Firefox/Thunderbird/SeaMonkey CVE-2014-1481 Security Bypass Vulnerability
Secunia: 56706 - Cyberfox Multiple Vulnerabilities, Highly Critical
OSVDB: 102863
SecurityTracker: 1029717
Vulnerability Center: 43151 - Mozilla Firefox, Thunderbird and SeaMonkey Remote Security Bypass (CVE-2014-1481), Medium
Siehe auch: 🔍
Eintrag
Erstellt: 06.02.2014 10:25Aktualisierung: 25.11.2025 20:26
Anpassungen: 06.02.2014 10:25 (89), 31.01.2018 09:55 (5), 09.06.2021 00:07 (2), 09.06.2021 00:17 (11), 09.06.2021 00:25 (1), 25.11.2025 20:26 (16)
Komplett: 🔍
Cache ID: 216:23D:103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.