| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.6 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in Mozilla Firefox ausgemacht. Es geht um eine nicht näher bekannte Funktion. Die Veränderung resultiert in erweiterte Rechte. Diese Verwundbarkeit ist als CVE-2008-5504 gelistet. Der Angriff kann über das Netzwerk angegangen werden. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Es wurde eine Schwachstelle in Mozilla Firefox (Web Browser) entdeckt. Sie wurde als kritisch eingestuft. Es geht dabei um eine unbekannte Verarbeitung. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-264 vorgenommen. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Mozilla Firefox 2.x before 2.0.0.19 allows remote attackers to run arbitrary JavaScript with chrome privileges via vectors related to the feed preview, a different vulnerability than CVE-2008-3836.Die Schwachstelle wurde am 17.12.2008 durch Jesse Ruderman (moz_bug_r_a4) als Bug 453526 in Form eines bestätigten Bug Reports (Bugzilla) publiziert. Das Advisory findet sich auf bugzilla.mozilla.org. Die Identifikation der Schwachstelle wird seit dem 12.12.2008 mit CVE-2008-5504 vorgenommen. Das Ausnutzen gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1068 bezeichnet.
Er wird als proof-of-concept gehandelt. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 43721 (CentOS 4 / 5 : firefox (CESA-2008:1036)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CentOS Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 165625 (SUSE Enterprise Linux Security Update Mozilla (SUSE-SA:2009:002)) zur Prüfung der Schwachstelle an.
Ein Aktualisieren auf die Version 2.0.0.8 vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (47410), Tenable (43721), SecurityFocus (BID 32882†), Secunia (SA33231†) und SecurityTracker (ID 1021422†) dokumentiert. Die Einträge VDB-45575, VDB-45574, VDB-45573 und VDB-45572 sind sehr ähnlich. Be aware that VulDB is the high quality source for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
- 2.0
- 2.0.0.1
- 2.0.0.2
- 2.0.0.3
- 2.0.0.4
- 2.0.0.5
- 2.0.0.6
- 2.0.0.7
- 2.0.0.8
- 2.0.0.9
- 2.0.0.10
- 2.0.0.11
- 2.0.0.12
- 2.0.0.13
- 2.0.0.14
- 2.0.0.15
- 2.0.0.16
- 2.0.0.17
- 2.0.0.18
Lizenz
Webseite
- Hersteller: https://www.mozilla.org/
- Produkt: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 6.6
VulDB Base Score: 7.3
VulDB Temp Score: 6.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 43721
Nessus Name: CentOS 4 / 5 : firefox (CESA-2008:1036)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 63220
OpenVAS Name: Debian Security Advisory DSA 1707-1 (iceweasel)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Firefox 2.0.0.8
Timeline
12.12.2008 🔍16.12.2008 🔍
16.12.2008 🔍
17.12.2008 🔍
17.12.2008 🔍
17.12.2008 🔍
18.12.2008 🔍
18.12.2008 🔍
17.03.2015 🔍
03.08.2021 🔍
Quellen
Hersteller: mozilla.orgProdukt: mozilla.org
Advisory: Bug 453526
Person: Jesse Ruderman (moz_bug_r_a4)
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2008-5504 (🔍)
GCVE (CVE): GCVE-0-2008-5504
GCVE (VulDB): GCVE-100-45567
OVAL: 🔍
X-Force: 47410
SecurityFocus: 32882 - Mozilla Firefox/Thunderbird/SeaMonkey Multiple Remote Vulnerabilities
Secunia: 33231 - Ubuntu update for firefox, Highly Critical
SecurityTracker: 1021422 - Mozilla Firefox Feed Preview Bug Lets Remote Users Execute Arbitrary Scripting Code
Vulnerability Center: 20263 - Mozilla Firefox 2 - 2.0.0.18 Remote Code Execution Vulnerability via a Specially-Crafted Feed, Medium
Vupen: ADV-2009-0977
Siehe auch: 🔍
Eintrag
Erstellt: 17.03.2015 16:11Aktualisierung: 03.08.2021 16:26
Anpassungen: 17.03.2015 16:11 (67), 13.04.2017 12:26 (19), 03.08.2021 16:26 (3)
Komplett: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.