| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.2 | $0-$5k | 0.00 |
Zusammenfassung
Eine kritische Schwachstelle wurde in Mozilla Firefox bis 20.0.1 ausgemacht. Es betrifft die Funktion SetOffsets. Dank der Manipulation mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden.
Die Identifikation der Schwachstelle findet als CVE-2013-1674 statt. Es steht kein Exploit zur Verfügung.
Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Eine Schwachstelle wurde in Mozilla Firefox bis 20.0.1 (Web Browser) ausgemacht. Sie wurde als kritisch eingestuft. Es geht hierbei um die Funktion SetOffsets. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-399. Auswirken tut sich dies auf die Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Use-after-free vulnerability in Mozilla Firefox before 21.0, Firefox ESR 17.x before 17.0.6, Thunderbird before 17.0.6, and Thunderbird ESR 17.x before 17.0.6 allows remote attackers to execute arbitrary code via vectors involving an onresize event during the playing of a video.Die Schwachstelle wurde am 23.05.2013 durch Christian Holler (Cody Crews) von Google Chrome Security Team als 53540 in Form eines nicht definierten Advisories (Secunia) herausgegeben. Das Advisory findet sich auf secunia.com. Eine Veröffentlichung wurde in Zusammenarbeit mit Mozilla angestrebt. Die Verwundbarkeit wird seit dem 13.02.2013 mit der eindeutigen Identifikation CVE-2013-1674 gehandelt. Die Ausnutzbarkeit ist als leicht bekannt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 66429 (CentOS 5 / 6 : firefox (CESA-2013:0820)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CentOS Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 121179 (Red Hat Update for Xulrunner Firefox (RHSA-2013:0820)) zur Prüfung der Schwachstelle an.
Ein Aktualisieren auf die Version 21.0 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle. Mozilla hat demzufolge vorgängig gehandelt.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (84258), Tenable (66429), SecurityFocus (BID 59852†), OSVDB (94085†) und Secunia (SA53540†) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-8753, VDB-8754, VDB-8755 und VDB-8758. Be aware that VulDB is the high quality source for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.mozilla.org/
- Produkt: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.5VulDB Meta Temp Score: 7.2
VulDB Base Score: 7.5
VulDB Temp Score: 7.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 66429
Nessus Name: CentOS 5 / 6 : firefox (CESA-2013:0820)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 892699
OpenVAS Name: Debian Security Advisory DSA 2699-1 (iceweasel - several vulnerabilities
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Firefox 21.0
Timeline
13.02.2013 🔍14.05.2013 🔍
14.05.2013 🔍
14.05.2013 🔍
16.05.2013 🔍
16.05.2013 🔍
23.05.2013 🔍
24.05.2013 🔍
11.06.2013 🔍
14.05.2021 🔍
Quellen
Hersteller: mozilla.orgProdukt: mozilla.org
Advisory: 53540⛔
Person: Christian Holler (Cody Crews)
Firma: Google Chrome Security Team
Status: Nicht definiert
Bestätigung: 🔍
Koordiniert: 🔍
CVE: CVE-2013-1674 (🔍)
GCVE (CVE): GCVE-0-2013-1674
GCVE (VulDB): GCVE-100-9071
OVAL: 🔍
X-Force: 84258
SecurityFocus: 59852 - RETIRED: Mozilla Firefox/Thunderbird MFSA 2013-41 through -48 Multiple Vulnerabilities
Secunia: 53540 - Pale Moon Multiple Use-After-Free Vulnerabilities, Highly Critical
OSVDB: 94085
Vulnerability Center: 39647 - Mozilla Firefox and Thunderbird Remote Code Execution due to an Error When Resizing Video While Playing, Critical
Siehe auch: 🔍
Eintrag
Erstellt: 11.06.2013 16:33Aktualisierung: 14.05.2021 14:30
Anpassungen: 11.06.2013 16:33 (81), 30.04.2017 10:36 (6), 14.05.2021 14:30 (3)
Komplett: 🔍
Editor:
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.