| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.2 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine problematische Schwachstelle in Mozilla Firefox 3 gefunden. Betroffen ist eine unbekannte Verarbeitung der Komponente XUL. Durch das Manipulieren mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Sicherheitslücke ist unter CVE-2008-2933 bekannt. Es ist möglich, den Angriff aus der Ferne durchzuführen. Darüber hinaus steht ein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Mozilla Firefox ist ein freier Webbrowser des Mozilla-Projekt der seit kurzem in Version 3 vorliegt. Neuerungen: neue plattformspezifische Standardmotive (theme) für die Benutzeroberfläche, verbesserte Adresszeile, neuer Passwortmanager basierend auf Javascript, neue Javascript-Bibliothek für Entwicklung von Erweiterungen, animierte PNG, Warnung bei Weiterleitungen, Acid2-Test bestanden, Umstellung auf Cairo, Zoom-Funktion für Text- und Grafikinhalte, SOAP-Unterstützung verworfen, überarbeitete Lesezeichenverwaltung (Places-Bookmarks), Schutz vor Schadsoftware, Bezug automatischer Updates nur noch über gesicherte Verbindungen oder mit einer digitalen Signatur, überarbeiteter Download-Manager, beschleunigte Javascript-Verarbeitung und Unterstützung von Farbprofilen. Neben diesen funktionalen Neuerungen entdeckten einige Mozilla Developer eine Schwachstelle bei der Eingabevalidierung von XUL Fehlerseiten. Unter diesen Umständen kann ein Angreifer möglicherweise Scripts im Kontext des laufenden Browsers zur Ausführung bringen. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (44199), Tenable (43699), SecurityFocus (BID 30244†), OSVDB (48782†) und Secunia (SA31106†) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-3734, VDB-3785 und VDB-43270. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 43699 (CentOS 5 : firefox (CESA-2008:0597)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CentOS Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 119095 (Red Hat Update for Firefox (RHSA-2008:0597)) zur Prüfung der Schwachstelle an.
Zwei Schwachstelle gibt es derzeit im neusten Spross der Firefox Familie zu beklagen. Beide lassen sich aber glücklicherweise durch ein simples Update auf die bereits verfügbare Version 3.0.1 lösen, was hier auch als empfohlene Gegenmassnahme erwähnt sei.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.mozilla.org/
- Produkt: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 5.2
VulDB Base Score: 5.4
VulDB Temp Score: 5.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Hoch funktional
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 43699
Nessus Name: CentOS 5 : firefox (CESA-2008:0597)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 61365
OpenVAS Name: Debian Security Advisory DSA 1614-1 (iceweasel)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: mozilla.org
Timeline
30.06.2008 🔍15.07.2008 🔍
15.07.2008 🔍
16.07.2008 🔍
16.07.2008 🔍
17.07.2008 🔍
17.07.2008 🔍
12.08.2008 🔍
04.10.2008 🔍
22.04.2025 🔍
Quellen
Hersteller: mozilla.orgProdukt: mozilla.org
Advisory: MFSA2008-35
Person: Ben Turner Dan Veditz
Firma: Mozilla Developers
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2008-2933 (🔍)
GCVE (CVE): GCVE-0-2008-2933
GCVE (VulDB): GCVE-100-3786
OVAL: 🔍
CERT: 🔍
X-Force: 44199 - Mozilla Firefox chrome cross-site scripting, Medium Risk
SecurityFocus: 30244 - Mozilla Firefox 'chrome' Document Unspecified Script Injection Weakness
Secunia: 31106 - Mozilla Firefox 3 URI Launching and XUL Error Page Vulnerabilities, Highly Critical
OSVDB: 48782 - Mozilla Firefox XUL Error Page Chrome Document Arbitrary Script Injection
SecurityTracker: 1020500 - Mozilla Firefox Command-line URL Processing Bug Lets Remote Users Open Tabs and Execute Arbitrary Code
Vulnerability Center: 18834 - Mozilla Firefox 2-2.0.15 and 3-3.0 Beta 5 Security-Bypass Vulnerability due to URL-Splitting Error, Low
Vupen: ADV-2009-0977
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 12.08.2008 16:20Aktualisierung: 22.04.2025 19:55
Anpassungen: 12.08.2008 16:20 (90), 31.01.2018 09:53 (10), 16.03.2021 17:27 (2), 30.12.2024 02:13 (15), 22.04.2025 19:55 (2)
Komplett: 🔍
Cache ID: 216:926:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.