Mozilla Firefox bis 28.0.1 Browser Engine Pufferüberlauf

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
6.6	$0-$5k	0.00

Zusammenfassunginfo

Es wurde eine Schwachstelle mit der Einstufung kritisch in Mozilla Firefox bis 28.0.1 gefunden. Dabei betrifft es einen unbekannter Codeteil der Komponente Browser Engine. Die Bearbeitung verursacht Pufferüberlauf. Diese Schwachstelle trägt die Bezeichnung CVE-2014-1518. Der Angriff kann über das Netzwerk passieren. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.

Detailsinfo

Eine kritische Schwachstelle wurde in Mozilla Firefox bis 28.0.1 (Web Browser) entdeckt. Betroffen davon ist ein unbekannter Prozess der Komponente Browser Engine. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-119. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

Multiple unspecified vulnerabilities in the browser engine in Mozilla Firefox before 29.0, Firefox ESR 24.x before 24.5, Thunderbird before 24.5, and SeaMonkey before 2.26 allow remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via unknown vectors.

Die Schwachstelle wurde am 29.04.2014 durch Bobby Holley, Carsten Book, Christoph Diehl, Gary Kwong, Jan de Mooij, Jesse Ruderman, Nathan Froyd und Christian Holler als MFSA2014-34 in Form eines bestätigten Advisories (Website) veröffentlicht. Das Advisory kann von mozilla.org heruntergeladen werden. Im Advisory ist nachzulesen:

In general these flaws cannot be exploited through email in the Thunderbird and Seamonkey products because scripting is disabled, but are potentially a risk in browser or browser-like contexts.

Die Identifikation der Schwachstelle findet seit dem 16.01.2014 als CVE-2014-1518 statt. Sie ist schwierig ausnutzbar. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.

Für den Vulnerability Scanner Nessus wurde am 01.05.2014 ein Plugin mit der ID 73794 (Oracle Linux 5 / 6 : firefox (ELSA-2014-0448)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Oracle Linux Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 122056 (Red Hat Update for Xulrunner firefox (RHSA-2014:0448)) zur Prüfung der Schwachstelle an.

Ein Upgrade auf die Version 29.0 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Mozilla hat hiermit sofort reagiert.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (92847), Tenable (73794), SecurityFocus (BID 67123†), Secunia (SA58344†) und SecurityTracker (ID 1030165†) dokumentiert. Unter bugzilla.mozilla.org werden zusätzliche Informationen bereitgestellt. Die Schwachstellen VDB-13101, VDB-13100, VDB-13099 und VDB-13098 sind ähnlich. VulDB is the best source for vulnerability data and more expert information about this specific topic.

Betroffen

Mozilla Firefox bis 28.0.1
Mozilla Firefox ESR bis 24.4
Mozilla Thunderbird bis 24.4
Mozilla Seamonkey bis 2.25

Produktinfo

Typ

Web Browser

Hersteller

Mozilla

Name

Firefox

Version

Lizenz

Open-Source

Webseite

Hersteller: https://www.mozilla.org/
Produkt: https://www.mozilla.org/en-US/firefox/

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.9
VulDB Meta Temp Score: 6.6

VulDB Base Score: 5.0
VulDB Temp Score: 4.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 8.8
NVD Vector: 🔍

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Unbewiesen

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Nessus ID: 73794
Nessus Name: Oracle Linux 5 / 6 : firefox (ELSA-2014-0448)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍

OpenVAS ID: 702918
OpenVAS Name: Debian Security Advisory DSA 2918-1 (iceweasel - security update
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Upgrade: Firefox 29.0

Timelineinfo

16.01.2014 🔍
29.04.2014 +103 Tage 🔍
29.04.2014 +0 Tage 🔍
29.04.2014 +0 Tage 🔍
30.04.2014 +1 Tage 🔍
30.04.2014 +0 Tage 🔍
30.04.2014 +0 Tage 🔍
30.04.2014 +0 Tage 🔍
30.04.2014 +0 Tage 🔍
01.05.2014 +1 Tage 🔍
01.05.2014 +0 Tage 🔍
25.11.2025 +4226 Tage 🔍

Quelleninfo

Hersteller: mozilla.org
Produkt: mozilla.org

Advisory: MFSA2014-34
Person: Bobby Holley, Carsten Book, Christoph Diehl, Gary Kwong, Jan de Mooij, Jesse Ruderman, Nathan Froyd, Christian Holler
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2014-1518 (🔍)
GCVE (CVE): GCVE-0-2014-1518
GCVE (VulDB): GCVE-100-13088

OVAL: 🔍
IAVM: 🔍

X-Force: 92847 - Mozilla Firefox,Thunderbird and SeaMonkey code execution, High Risk
SecurityFocus: 67123 - Mozilla Firefox/Thunderbird/SeaMonkey CVE-2014-1518 Multiple Memory Corruption Vulnerabilities
Secunia: 58344 - Mozilla Firefox / Thunderbird / SeaMonkey Multiple Vulnerabilities, Highly Critical
SecurityTracker: 1030165 - Mozilla Thunderbird Multiple Flaws Let Remote Users Execute Arbitrary Code, Deny Service, and Conduct Cross-Site Scripting Attacks and Local Users Gain Elevated Privileges
Vulnerability Center: 44345 - Multiple Mozilla Products Code Execution Vulnerability via Unspecified Vectors - CVE-2014-1518, Critical

Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 30.04.2014 21:26
Aktualisierung: 25.11.2025 21:04
Anpassungen: 30.04.2014 21:26 (92), 31.01.2018 09:55 (6), 19.06.2021 07:17 (12), 19.06.2021 07:22 (1), 25.11.2025 21:04 (18)
Komplett: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

◂ Zurück Übersicht Weiter ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!