Mozilla Firefox 27.0 Javascript onbeforeunload Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine problematische Schwachstelle in Mozilla Firefox 27.0 gefunden. Betroffen davon ist die Funktion onbeforeunload der Komponente Javascript Handler. Die Manipulation führt zu Denial of Service.
Die Identifikation der Schwachstelle wird mit CVE-2014-1500 vorgenommen. Umgesetzt werden kann der Angriff über das Netzwerk. Es existiert kein Exploit.
Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
In Mozilla Firefox 27.0 (Web Browser) wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Betroffen ist die Funktion onbeforeunload der Komponente Javascript Handler. Mit der Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-404. Mit Auswirkungen muss man rechnen für die Verfügbarkeit. CVE fasst zusammen:
Mozilla Firefox before 28.0 and SeaMonkey before 2.25 allow remote attackers to cause a denial of service (resource consumption and application hang) via onbeforeunload events that trigger background JavaScript execution.Die Schwachstelle wurde am 18.03.2014 durch Tim Philipp Schäfers und Sebastian Neef von OUSPG als MFSA2014-20 in Form eines bestätigten Advisories (Website) an die Öffentlichkeit getragen. Das Advisory kann von mozilla.org heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 16.01.2014 mit CVE-2014-1500 vorgenommen. Sie ist leicht auszunutzen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1499. Das Advisory weist darauf hin:
(…) causing the browser to become unresponsive.Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 73111 (FreeBSD : mozilla -- multiple vulnerabilities (610de647-af8d-11e3-a25b-b4b52fce4ce8)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 166883 (OpenSuSE Security Update for MozillaFirefox (openSUSE-SU-2014:0448-1)) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 28 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Mozilla hat offensichtlich sofort reagiert. Das Advisory stellt fest:
Fixed in: Firefox 28, Seamonkey 2.25Unter anderem wird der Fehler auch in den Datenbanken von X-Force (91861), Tenable (73111), SecurityFocus (BID 66278†), SecurityTracker (ID 1029928†) und Vulnerability Center (SBV-43684†) dokumentiert. Zusätzliche Informationen finden sich unter bugzilla.mozilla.org. Die Einträge VDB-12646, VDB-12647, VDB-12648 und VDB-12649 sind sehr ähnlich. Once again VulDB remains the best source for vulnerability data.
Betroffen
- Mozilla Firefox 27.0
- Mozilla Seamonkey 2.24
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.mozilla.org/
- Produkt: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 4.6
VulDB Base Score: 5.3
VulDB Temp Score: 4.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Unbewiesen
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 73111
Nessus Name: FreeBSD : mozilla -- multiple vulnerabilities (610de647-af8d-11e3-a25b-b4b52fce4ce8)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 803420
OpenVAS Name: Mozilla Firefox Multiple Vulnerabilities-01 Mar14 (Windows)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: Firefox 28
Timeline
16.01.2014 🔍18.03.2014 🔍
18.03.2014 🔍
18.03.2014 🔍
18.03.2014 🔍
19.03.2014 🔍
19.03.2014 🔍
19.03.2014 🔍
20.03.2014 🔍
15.06.2021 🔍
Quellen
Hersteller: mozilla.orgProdukt: mozilla.org
Advisory: MFSA2014-20
Person: Tim Philipp Schäfers, Sebastian Neef
Firma: OUSPG
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2014-1500 (🔍)
GCVE (CVE): GCVE-0-2014-1500
GCVE (VulDB): GCVE-100-12652
OVAL: 🔍
IAVM: 🔍
X-Force: 91861 - Mozilla Firefox and SeaMonkey onbeforeunload event denial of service, Medium Risk
SecurityFocus: 66278 - RETIRED: Mozilla Firefox/Thunderbird/SeaMonkey MFSA 2014-15 through -28 Multiple Vulnerabilities
SecurityTracker: 1029928 - Mozilla Firefox Multiple Bugs Let Local Users Gain Elevated Privileges and Remote Users Execute Arbitrary Code, Deny Service, and Obtain Information
Vulnerability Center: 43684 - Mozilla Firefox and SeaMonkey Remote DoS via JavaScript \, Medium
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 20.03.2014 10:51Aktualisierung: 15.06.2021 19:28
Anpassungen: 20.03.2014 10:51 (86), 31.01.2018 09:52 (8), 15.06.2021 19:28 (2)
Komplett: 🔍
Cache ID: 216:338:103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.