Mozilla Firefox bis 1.0.5 InstallVersion.compareTo() Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.3 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in Mozilla Firefox bis 1.0.5 gefunden. Betroffen hiervon ist die Funktion InstallVersion.compareTo. Dank Manipulation mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden.
Der Angriff kann remote ausgeführt werden. Es ist kein Exploit verfügbar.
Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Das Mozilla-Projekt versucht einen open-source Webbrowser zur Verfügung zu stellen. Der Mozilla Webbrowser erlangte seit der Veröffentlichung der ersten offiziellen Versionen immer mehr Akzeptanz, wobei das aktuelle Ziel der Entwickler ein Marktanteil von 10 % darstellt. shutdown entdeckte einen Designfehler in Mozilla Firefox bis 1.0.5. So wird die Eingabeüberprüfung in InstallVersion.compareTo() nicht korrekt umgesetzt. Ein Angreifer kann diesen Umstand für entsprechende Cross Site Scripting-Zugriffe nutzen. Der Fehler wurde in der Version 1.0.5 behoben. Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Secunia (SA16043†) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-1609, VDB-1607, VDB-1612 und VDB-1603. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Schon wieder eine Vielzahl an Sicherheitslücken prasselt auf das Mozilla-Projekt nieder. Keine gute Werbung, in der Tat - Obschon Mozilla immerwieder als Alternative zum beschmutzten Microsoft Internet Explorer empfohlen wird, wird voraussichtlich über längere Zeit auch das Mozilla-Pendant seine weisse Weste nicht sauber halten können. Es scheint, als müsse der sichere Webbrowser erst noch entwickelt werden, denn Mozilla bringt die gleichen (Kinder-)Krankheiten mit, wie auch schon viele vergleichbare Projekte zuvor.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.mozilla.org/
- Produkt: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.5VulDB Meta Temp Score: 5.3
VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: mozilla.org
Timeline
13.07.2005 🔍15.07.2005 🔍
31.01.2018 🔍
Quellen
Hersteller: mozilla.orgProdukt: mozilla.org
Advisory: MFSA2005-50
Person: shutdown
Status: Nicht definiert
GCVE (VulDB): GCVE-100-1610
Secunia: 16043 - Firefox Multiple Vulnerabilities, Highly Critical
Siehe auch: 🔍
Eintrag
Erstellt: 15.07.2005 12:08Aktualisierung: 31.01.2018 09:52
Anpassungen: 15.07.2005 12:08 (48), 31.01.2018 09:52 (5)
Komplett: 🔍
Cache ID: 216:069:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.