Mozilla Firefox bis 1.5.0.7 Network Security Services fehlerhafte Authentisierung
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.7 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Mozilla Firefox 1.5.0.6 ausgemacht. Sie wurde als problematisch eingestuft. Betroffen hiervon ist ein unbekannter Ablauf der Komponente Network Security Service. Die Bearbeitung verursacht erweiterte Rechte. Diese Sicherheitslücke ist unter CVE-2006-4340 bekannt. Der Angriff kann remote ausgeführt werden. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Das Mozilla-Projekt versucht einen open-source Webbrowser zur Verfügung zu stellen. Der Mozilla Webbrowser erlangte seit der Veröffentlichung der ersten offiziellen Versionen immer mehr Akzeptanz. Gleich mehrere kritische Schwachstellen sind im Produkt bekanntgeworden. In Mozilla Foundation Security Advisory 2006-60 ist die Rede davon, dass die Network Security Services (NSS) Library keine korrekte Überprüfung von Signaturen durchführe. Weitere Details oder ein Exploit sind nicht bekannt. Das Problem wurde in der aktualisierten Version von Mozilla Firefox behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (30098), Tenable (27965), SecurityFocus (BID 19849†), OSVDB (29013†) und Secunia (SA23883†) dokumentiert. Unter imc.org werden zusätzliche Informationen bereitgestellt. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-2509, VDB-2544, VDB-2547 und VDB-2543. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Für den Vulnerability Scanner Nessus wurde am 10.11.2007 ein Plugin mit der ID 27965 (Ubuntu 5.10 / 6.06 LTS / 6.10 : mozilla-thunderbird vulnerabilities (USN-382-1)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Ubuntu Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 156230 (Oracle Enterprise Linux Update for Firefox (ELSA-2006:0733,ELSA-2006:0675,ELSA-2006:0610)) zur Prüfung der Schwachstelle an.
In der Tat, das Mozilla-Projekt steht absolut in der Schusslinie, wenn es um neue Schwachstellen geht. Praktisch keine Woche vergeht, an der nicht irgendeine Sicherheitslücke in Firefox und co. Bekannt werden. Das Spiel wiederholt sich: Umso populärer eine Lösung wird, umso grösser ist das Interesse der Angreifer, sich mit den Schwachstellen dieser auseinanderzusetzen. Tragisch an dieser Geschichte ist jedoch, dass Mozilla angeblich explizit auf Sicherheit ausgelegt wurde und nicht die Fehler von Microsofts Webbrowser wiederholen will. Die Realität zeigt da jedoch etwas anderes. Mozilla ist halt nur ein weiteres Projekt, bei dem die Sicherheit zweitrangig ist - Ein Problem, das stets auf dem Rücken der Benutzer ausgetragen wird.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.mozilla.org/
- Produkt: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 4.7
VulDB Base Score: 5.4
VulDB Temp Score: 4.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 27965
Nessus Name: Ubuntu 5.10 / 6.06 LTS / 6.10 : mozilla-thunderbird vulnerabilities (USN-382-1)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 57485
OpenVAS Name: Debian Security Advisory DSA 1191-1 (mozilla-thunderbird)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: mozilla.com
TippingPoint: 🔍
SourceFire IPS: 🔍
Timeline
24.08.2006 🔍05.09.2006 🔍
13.09.2006 🔍
15.09.2006 🔍
15.09.2006 🔍
15.09.2006 🔍
15.09.2006 🔍
18.09.2006 🔍
18.09.2006 🔍
20.09.2006 🔍
10.11.2007 🔍
13.03.2021 🔍
Quellen
Hersteller: mozilla.orgProdukt: mozilla.org
Advisory: MFSA2006-60
Person: Philip Mackenzie, Marius Schilder
Firma: Google
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2006-4340 (🔍)
GCVE (CVE): GCVE-0-2006-4340
GCVE (VulDB): GCVE-100-2546
OVAL: 🔍
X-Force: 30098 - Mozilla Network Security Services RSA signature validation security bypass, Medium Risk
SecurityFocus: 19849
Secunia: 23883 - Sun Solaris update for Mozilla, Less Critical
OSVDB: 29013 - Mozilla Multiple Products NSS Library RSA Exponent 3 Signature Forgery
SecurityTracker: 1016860 - Mozilla Thunderbird Certificate Signatures Can Be Forged
Vulnerability Center: 12715 - Mozilla Network Security Service Library allows RSA Keys with Exponent 3 Signature Forging, Medium
Vupen: ADV-2007-0293
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 18.09.2006 11:43Aktualisierung: 13.03.2021 13:41
Anpassungen: 18.09.2006 11:43 (94), 31.01.2018 09:53 (9), 13.03.2021 13:34 (4), 13.03.2021 13:41 (1)
Komplett: 🔍
Cache ID: 216:F1B:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.