Mozilla Firefox bis 1.5.0.4 JavaScript Sandbox valueOf() erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.5 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in Mozilla Firefox 1.5.0.2 gefunden. Sie wurde als kritisch eingestuft. Es geht um die Funktion valueOf der Komponente Javascript Sandbox. Durch Beeinflussen mit unbekannten Daten kann eine Remote Code Execution-Schwachstelle ausgenutzt werden.
Diese Verwundbarkeit ist als CVE-2006-1942 gelistet. Der Angriff kann über das Netzwerk angegangen werden. Ferner existiert ein Exploit.
Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Das Mozilla-Projekt versucht einen open-source Webbrowser zur Verfügung zu stellen. Der Mozilla Webbrowser erlangte seit der Veröffentlichung der ersten offiziellen Versionen immer mehr Akzeptanz. Einmal mehr wurden mehrere Schwachstellen zeitgleich publiziert. Diese betreffen den Mozilla Firefox bis 1.5.0.4. Einer der Fehler betrifft die JavaScript-Sandbox. In dieser kann mit der Funktion valueOf() erweiterte Rechte bei der Ausführung von JavaScript-Code erlangt werden. Genaue technische Details oder ein Exploit sind nicht bekannt. Als Workaround wird empfohlen, entweder auf JavaScript oder das Aufsuchen von Webseiten zwielichtiger Herkunft zu verzichten. Der Fehler wurde in der jüngsten Firefox-Version behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (25925), Tenable (22660), SecurityFocus (BID 18228†), OSVDB (24713†) und Secunia (SA20376†) dokumentiert. Die Einträge VDB-2174, VDB-2283, VDB-2285 und VDB-2282 sind sehr ähnlich. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Für den Vulnerability Scanner Nessus wurde am 14.10.2006 ein Plugin mit der ID 22660 (Debian DSA-1118-1 : mozilla - several vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Debian Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 165145 (SUSE Security Update for Mozilla Firefox, Mozilla Thunderbird, Seamonkey (SUSE-SA:2006:035)) zur Prüfung der Schwachstelle an.
Mozilla Firefox gilt als ernstzunehmende und sichere Alternative zum Branchenriesen Microsoft Internet Explorer. In vielen der letzten Meldungen zu Schwachstellen im Internet Explorer wird darauf verwiesen, endlich auf eine Lösung wie Firefox umzusteigen. Dieses Mehr an Popularität hat aber kurzfristig auch dem Firefox-Projekt zusätzliche Angriffsfläche beschert. Noch nie wurden innerhalb so kurzer Zeit so viele ernstzunehmende Sicherheitslücken in Mozilla Firefox bekannt. Statistisch ist das freie Produkt drauf und dran den alteingesessenen Browser in punkto Fehler zu überholen. Die alte Fausregel, dass zusätzliche Popularität eines Produkts die meisten Sicherheitslücken in diesem zu Tage fördern wird, hat sich also einmal mehr bewahrheitet.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.mozilla.org/
- Produkt: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.0VulDB Meta Temp Score: 4.5
VulDB Base Score: 5.0
VulDB Temp Score: 4.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Remote Code ExecutionCWE: Unbekannt
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 22660
Nessus Name: Debian DSA-1118-1 : mozilla - several vulnerabilities
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 57153
OpenVAS Name: Debian Security Advisory DSA 1118-1 (mozilla)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: getfirefox.com
TippingPoint: 🔍
Timeline
18.04.2006 🔍20.04.2006 🔍
20.04.2006 🔍
20.04.2006 🔍
05.05.2006 🔍
02.06.2006 🔍
02.06.2006 🔍
02.06.2006 🔍
02.06.2006 🔍
02.06.2006 🔍
11.06.2006 🔍
22.07.2006 🔍
14.10.2006 🔍
13.03.2021 🔍
Quellen
Hersteller: mozilla.orgProdukt: mozilla.org
Advisory: MFSA2006-31
Person: Mikolaj J. Habryn (moz_bug_r_a4)
Firma: Cybozu Labs
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2006-1942 (🔍)
GCVE (CVE): GCVE-0-2006-1942
GCVE (VulDB): GCVE-100-2277
X-Force: 25925
SecurityFocus: 18228 - Mozilla Firefox, SeaMonkey, Camino, and Thunderbird Multiple Remote Vulnerabilities
Secunia: 20376 - Firefox Multiple Vulnerabilities, Highly Critical
OSVDB: 24713 - Mozilla Firefox IMG Element Crafted file:// URL Arbitrary Local File Access
SecurityTracker: 1016202 - Mozilla Firefox Bugs Permit Arbitrary Code Execution, Cross-Site Scripting, and HTTP Response Smuggling
Vulnerability Center: 11853 - Firefox, Netscape \x26 K-Meleon Local File Access via Broken Image, Medium
Vupen: ADV-2006-2106
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 02.06.2006 15:22Aktualisierung: 13.03.2021 06:23
Anpassungen: 02.06.2006 15:22 (90), 31.01.2018 09:52 (16), 13.03.2021 06:23 (2)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.