| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.9 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle mit der Einstufung kritisch in Mozilla Firefox bis 2.0 gefunden. Davon betroffen ist unbekannter Code der Komponente Password Manager. Durch die Manipulation mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2006-6077 gehandelt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Desweiteren ist ein Exploit verfügbar. Als bestmögliche Massnahme wird das Deaktivieren der betroffenen Komponente empfohlen.
Details
Das Mozilla-Projekt versucht einen open-source Webbrowser zur Verfügung zu stellen. Der Mozilla Webbrowser erlangte seit der Veröffentlichung der ersten offiziellen Versionen immer mehr Akzeptanz. Robert Chapin hat eine Sicherheitslücke in den aktuellen Versionen bis 2.0.0 gefunden. Der Password Manager ist in der Lage, genutzte Passwörter zu speichern und diese beim erneuten Aufruf einer Webseite automatisch einzusetzen. Dieser Mechanismus führt jedoch keine umfassende Überprüfung der URL durch, womit eine Ressource die gespeicherten Daten einer anderen Ressource auslesen kann. Ein Exploit wurde zusammen mit der Meldung herausgegeben. Als Workaround wird empfohlen, auf das Nutzen des Password Managers vorerst, bis zum Erscheinen eines Bugfixes, zu verzichten. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (30470), Tenable (67454), SecurityFocus (BID 22694†), OSVDB (30641†) und Secunia (SA25588†) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: VDB-2943, VDB-2963, VDB-11812 und VDB-35438. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Für den Vulnerability Scanner Nessus wurde am 12.07.2013 ein Plugin mit der ID 67454 (Oracle Linux 4 : thunderbird (ELSA-2007-0078)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Oracle Linux Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 156209 (Oracle Enterprise Linux Update for Thunderbird (ELSA-2007:0078)) zur Prüfung der Schwachstelle an.
Schon wieder eine Vielzahl an Sicherheitslücken prasselt auf das Mozilla-Projekt nieder. Keine gute Werbung, in der Tat - Obschon Mozilla immerwieder als Alternative zum beschmutzten Microsoft Internet Explorer empfohlen wird, wird voraussichtlich über längere Zeit auch das Mozilla-Pendant seine weisse Weste nicht sauber halten können. Es scheint, als müsse der sichere Webbrowser erst noch entwickelt werden, denn Mozilla bringt die gleichen (Kinder-)Krankheiten mit, wie auch schon viele vergleichbare Projekte zuvor.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.mozilla.org/
- Produkt: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 3.9
VulDB Base Score: 4.3
VulDB Temp Score: 3.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 67454
Nessus Name: Oracle Linux 4 : thunderbird (ELSA-2007-0078)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 58468
OpenVAS Name: Debian Security Advisory DSA 1336-1 (mozilla-firefox)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: DeaktivierenStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: mozilla.com
PaloAlto IPS: 🔍
Timeline
22.11.2006 🔍22.11.2006 🔍
22.11.2006 🔍
22.11.2006 🔍
24.11.2006 🔍
24.11.2006 🔍
24.11.2006 🔍
27.11.2006 🔍
29.11.2006 🔍
23.02.2007 🔍
22.07.2007 🔍
23.07.2007 🔍
12.07.2013 🔍
11.07.2019 🔍
Quellen
Hersteller: mozilla.orgProdukt: mozilla.org
Advisory: info-svc.com
Person: Robert Chapin (moz_bug_r_a4)
Firma: Martijn Wargers
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2006-6077 (🔍)
GCVE (CVE): GCVE-0-2006-6077
GCVE (VulDB): GCVE-100-2704
OVAL: 🔍
X-Force: 30470 - Mozilla Firefox Password Manager information disclosure, Low Risk
SecurityFocus: 22694 - Mozilla Thunderbird/SeaMonkey/Firefox Multiple Remote Vulnerabilities
Secunia: 25588 - Debian update for mozilla-firefox, Highly Critical
OSVDB: 30641 - Multiple Browser Password Manager Crafted Form Cross-Site Password Disclosure
SecurityTracker: 1017271
Vulnerability Center: 13173 - Mozilla Firefox Password Manager and Netscape Passcard Manager Remote Disclosure of Passwords, Medium
Vupen: ADV-2007-0718
Siehe auch: 🔍
Eintrag
Erstellt: 27.11.2006 09:48Aktualisierung: 11.07.2019 09:46
Anpassungen: 27.11.2006 09:48 (107), 11.07.2019 09:46 (1)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.