Mozilla Firefox bis 1.5.0.8 Javascript andere Scripte modifizieren erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.8 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in Mozilla Firefox bis 1.5.0.7 gefunden. Das betrifft eine unbekannte Funktionalität der Komponente Javascript Script Modificator. Mittels dem Manipulieren mit unbekannten Daten kann eine unbekannte Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2006-5462 gehandelt. Der Angriff kann über das Netzwerk angegangen werden. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Das Mozilla-Projekt versucht mit Firefox einen open-source Webbrowser zur Verfügung zu stellen. Der Mozilla Webbrowser erlangte seit der Veröffentlichung der ersten offiziellen Versionen immer mehr Akzeptanz. Eine neue Schwachstelle, die im Mozilla Foundation Security Advisory 2006-67 dokumentiert wird, lässt die Manipulation von Javascript-Bytecode anderer Scripte während der Programmausführung zu. Dadurch kann ein Angreifer erweiterte Rechte erlangen. Technische Details oder ein Exploit sind nicht bekannt. Dieser und einige andere Fehler wurden in Mozilla Firefox 1.5.0.8, welcher über das Autoupdate installiert oder von der Webseite heruntergeladen werden kann, behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (30098), Tenable (23681), Secunia (SA23297†) und SecurityTracker (ID 1017182†) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: VDB-2544, VDB-2547, VDB-2543 und VDB-2548. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Für den Vulnerability Scanner Nessus wurde am 20.11.2006 ein Plugin mit der ID 23681 (RHEL 2.1 / 3 / 4 : seamonkey (RHSA-2006:0734)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Red Hat Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 156230 (Oracle Enterprise Linux Update for Firefox (ELSA-2006:0733,ELSA-2006:0675,ELSA-2006:0610)) zur Prüfung der Schwachstelle an.
In der Tat, das Mozilla-Projekt steht absolut in der Schusslinie, wenn es um neue Schwachstellen geht. Praktisch keine Woche vergeht, an der nicht irgendeine Sicherheitslücke in Firefox und co. Bekannt werden. Das Spiel wiederholt sich: Umso populärer eine Lösung wird, umso grösser ist das Interesse der Angreifer, sich mit den Schwachstellen dieser auseinanderzusetzen. Tragisch an dieser Geschichte ist jedoch, dass Mozilla angeblich explizit auf Sicherheit ausgelegt wurde und nicht die Fehler von Microsofts Webbrowser wiederholen will. Die Realität zeigt da jedoch etwas anderes. Mozilla ist halt nur ein weiteres Projekt, bei dem die Sicherheit zweitrangig ist - Ein Problem, das stets auf dem Rücken der Benutzer ausgetragen wird.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.mozilla.org/
- Produkt: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 3.8
VulDB Base Score: 4.3
VulDB Temp Score: 3.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: UnbekanntCWE: Unbekannt
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 23681
Nessus Name: RHEL 2.1 / 3 / 4 : seamonkey (RHSA-2006:0734)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 57687
OpenVAS Name: Debian Security Advisory DSA 1224-1 (mozilla)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: mozilla.org
Timeline
23.10.2006 🔍08.11.2006 🔍
08.11.2006 🔍
08.11.2006 🔍
10.11.2006 🔍
20.11.2006 🔍
10.12.2006 🔍
17.12.2024 🔍
Quellen
Hersteller: mozilla.orgProdukt: mozilla.org
Advisory: MFSA2006-67
Person: shutdown
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2006-5462 (🔍)
GCVE (CVE): GCVE-0-2006-5462
GCVE (VulDB): GCVE-100-2664
OVAL: 🔍
CERT: 🔍
X-Force: 30098 - Mozilla Network Security Services RSA signature validation security bypass, Medium Risk
Secunia: 23297 - Gentoo update for mozilla-thunderbird, Moderately Critical
SecurityTracker: 1017182 - Mozilla Firefox RSA Signatures Can Be Forged
Vupen: ADV-2006-4387
Siehe auch: 🔍
Eintrag
Erstellt: 10.11.2006 14:33Aktualisierung: 17.12.2024 11:21
Anpassungen: 10.11.2006 14:33 (82), 31.01.2018 09:52 (2), 13.03.2021 15:10 (7), 13.03.2021 15:14 (1), 17.12.2024 11:21 (15)
Komplett: 🔍
Cache ID: 216:B90:103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.