| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in Mozilla Firefox 1.2 ausgemacht. Es geht dabei um die Funktion liveconnect der Komponente Javascript. Mit der Manipulation mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden.
Der Angriff kann über das Netzwerk passieren. Es ist soweit kein Exploit verfügbar.
Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Durch die Funktion liveconnect (javascript-2-java-communication) können verschiedene Browser zum Absturz gebracht werden. Das Einfügen des entsprechenden JavaScripts in ein HTML-Dokument genügt für diesen Angriff. Proof-of-concept Exploits sind im Internet verfügbar. In sicherheitskritischen Umgebungen gilt es die Interpretation von JavaScript zu unterbinden. Allen anderen wird das Update auf eine nicht verwundbare Browser-Version empfohlen. Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 7227†) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Grundsätzlich müssen zwei Dinge erfüllt sein, damit dieser Angriff Fuss fassen kann: So muss das Opfer JavaScript aktiviert haben und ein bösartiges Webdokument öffnen. Diese Sicherheitskücke ist nicht wirklich akut, denn der Absturz eines Webbrowsers ist lediglich lästig und keine wirklich grosse Gefahr. Ausserdem ist der Microsoft Internet Explorer, momentan der am meisten verbreitete Webbrowser, nicht von diesem Fehler betroffen.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.mozilla.org/
- Produkt: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.8VulDB Meta Temp Score: 4.6
VulDB Base Score: 4.8
VulDB Temp Score: 4.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: securityfocus.com
Timeline
28.03.2003 🔍28.03.2003 🔍
28.03.2003 🔍
02.05.2019 🔍
Quellen
Hersteller: mozilla.orgProdukt: mozilla.org
Advisory: securityfocus.com⛔
Person: Marc Schoenefeld
Firma: Universität Münster
Status: Nicht definiert
GCVE (VulDB): GCVE-100-29
SecurityFocus: 7227 - Multiple Vendor Web Browser LiveConnect JavaScript Denial Of Service Vulnerability
Eintrag
Erstellt: 28.03.2003 01:00Aktualisierung: 02.05.2019 07:11
Anpassungen: 28.03.2003 01:00 (50), 02.05.2019 07:11 (6)
Komplett: 🔍
Cache ID: 216:4A1:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.