Mozilla Firefox 29.0.1 Pufferüberlauf

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
5.5	$0-$5k	0.00

Zusammenfassunginfo

Es wurde eine kritische Schwachstelle in Mozilla Firefox 29.0.1 ausgemacht. Hierbei betrifft es unbekannten Programmcode. Mittels Manipulieren mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2014-1534 gelistet. Der Angriff lässt sich über das Netzwerk starten. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.

Detailsinfo

Es wurde eine kritische Schwachstelle in Mozilla Firefox 29.0.1 (Web Browser) gefunden. Es geht dabei um eine unbekannte Verarbeitung. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-119 vorgenommen. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

Multiple unspecified vulnerabilities in the browser engine in Mozilla Firefox before 30.0 allow remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via unknown vectors.

Die Schwachstelle wurde am 10.06.2014 durch Gary Kwong, Jesse Ruderman, Christian Holler, Gregor Wagner, Benoit Jacob, Karl Tomlinson und Jeff Walden als MFSA2014-48 in Form eines bestätigten Advisories (Website) publiziert. Bereitgestellt wird das Advisory unter mozilla.org. Die Identifikation der Schwachstelle wird seit dem 16.01.2014 mit CVE-2014-1534 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Das Advisory weist darauf hin:

Mozilla developers and community identified identified and fixed several memory safety bugs in the browser engine used in Firefox and other Mozilla-based products. Some of these bugs showed evidence of memory corruption under certain circumstances, and we presume that with enough effort at least some of these could be exploited to run arbitrary code.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 74444 (FreeBSD : mozilla -- multiple vulnerabilities (888a0262-f0d9-11e3-ba0c-b4b52fce4ce8)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 195520 (Ubuntu Security Notification for Firefox Vulnerabilities (USN-2243-1)) zur Prüfung der Schwachstelle an.

Ein Aktualisieren auf die Version 30.0 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Mozilla hat daher sofort gehandelt.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (93706), Tenable (74444), SecurityFocus (BID 67964†), Secunia (SA59171†) und SecurityTracker (ID 1030388†) dokumentiert. Weitere Informationen werden unter bugzilla.mozilla.org bereitgestellt. Die Einträge VDB-13556, VDB-13558, VDB-13559 und VDB-13560 sind sehr ähnlich. If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Betroffen

Mozilla Firefox 29.0.1
Mozilla Firefox ESR 24.5
Mozilla Thunderbird 24.5

Produktinfo

Typ

Web Browser

Hersteller

Mozilla

Name

Firefox

Version

29.0.1

Lizenz

Open-Source

Webseite

Hersteller: https://www.mozilla.org/
Produkt: https://www.mozilla.org/en-US/firefox/

CPE 2.3info

🔍

CPE 2.2info

🔍

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 5.5

VulDB Base Score: 6.3
VulDB Temp Score: 5.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Unbewiesen

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Nessus ID: 74444
Nessus Name: FreeBSD : mozilla -- multiple vulnerabilities (888a0262-f0d9-11e3-ba0c-b4b52fce4ce8)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍

OpenVAS ID: 90011
OpenVAS Name: Ubuntu Update for firefox USN-2243-1
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Upgrade: Firefox 30.0

Timelineinfo

16.01.2014 🔍
10.06.2014 +145 Tage 🔍
10.06.2014 +0 Tage 🔍
10.06.2014 +0 Tage 🔍
10.06.2014 +0 Tage 🔍
11.06.2014 +1 Tage 🔍
11.06.2014 +0 Tage 🔍
11.06.2014 +0 Tage 🔍
11.06.2014 +0 Tage 🔍
11.06.2014 +0 Tage 🔍
22.06.2021 +2568 Tage 🔍

Quelleninfo

Hersteller: mozilla.org
Produkt: mozilla.org

Advisory: MFSA2014-48
Person: Gary Kwong, Jesse Ruderman, Christian Holler, Gregor Wagner, Benoit Jacob, Karl Tomlinson, Jeff Walden
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2014-1534 (🔍)
GCVE (CVE): GCVE-0-2014-1534
GCVE (VulDB): GCVE-100-13557

OVAL: 🔍
IAVM: 🔍

X-Force: 93706 - Mozilla Firefox code execution, High Risk
SecurityFocus: 67964 - Mozilla Firefox/Thunderbird CVE-2014-1534 Multiple Memory Corruption Vulnerabilities
Secunia: 59171 - Mozilla Firefox Multiple Vulnerabilities, Highly Critical
SecurityTracker: 1030388 - Mozilla Firefox Multiple Flaws Let Remote Users Execute Arbitrary Code and Conduct Clickjacking Attacks
Vulnerability Center: 44906 - Mozilla Firefox, Thunderbird and Seamonkey Remote Code Execution due to Memory Safety Bugs, Critical

Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 11.06.2014 23:35
Aktualisierung: 22.06.2021 16:13
Anpassungen: 11.06.2014 23:35 (76), 31.01.2018 09:55 (18), 22.06.2021 16:13 (2)
Komplett: 🔍
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

◂ Zurück Übersicht Weiter ▸

Do you need the next level of professionalism?

Upgrade your account now!