Mozilla Firefox 27.0 Update File Extraction MAR File अधिकार वृद्धि

| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
सारांश
एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Mozilla Firefox 27.0 में खोजी गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन घटक Update File Extraction Handler का। यह परिवर्तन MAR File के अंतर्गत अधिकार वृद्धि का कारण बनता है। यह भेद्यता CVE-2014-1496 के रूप में व्यापार की जाती है। हमले के लिए स्थानीय पहुँच की आवश्यकता होती है। कोई शोषण उपलब्ध नहीं है. यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।
विवरण
एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Mozilla Firefox 27.0 में खोजी गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन घटक Update File Extraction Handler का। यह परिवर्तन MAR File के अंतर्गत अधिकार वृद्धि का कारण बनता है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-264 की ओर ले जाता है। यह कमजोरी प्रकाशित हुई थी 18/03/2014 द्वारा Christoph Diehl (Ash) के साथ OUSPG के रूप में MFSA2014-16 के रूप में सलाह (वेबसाइट). mozilla.org पर यह परामर्श डाउनलोड हेतु उपलब्ध कराया गया है।
यह भेद्यता CVE-2014-1496 के रूप में व्यापार की जाती है। 16/01/2014 पर CVE आवंटित किया गया था. हमले के लिए स्थानीय पहुँच की आवश्यकता होती है। कोई टेक्निकल जानकारी उपलब्ध नहीं है. यह भेद्यता सामान्य से कम लोकप्रिय है। कोई शोषण उपलब्ध नहीं है. वर्तमान में किसी एक्सप्लॉइट की कीमत लगभग USD $0-$5k हो सकती है। MITRE ATT&CK परियोजना इस हमले की तकनीक को T1068 घोषित करती है. एडवाइजरी इंगित करती है:
[T]he extracted files for updates to existing files are not read only during the update process.
0-day के तौर पर अनुमानित भूमिगत दाम लगभग $25k-$100k था। Nessus द्वारा 73111 आईडी वाला एक प्लगइन दिया गया है। इसे FreeBSD Local Security Checks फैमिली के अंतर्गत रखा गया है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 166815 प्लगइन से कर सकता है (SUSE Enterprise Linux Security Update for Mozilla Firefox (SUSE-SU-2014:0418-1)).
यदि आप 28 संस्करण में अपग्रेड करते हैं, तो यह समस्या हल हो सकती है। यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए। एडवाइजरी में यह उल्लेख किया गया है:
Fixed in: Firefox 28, Firefox ESR 24.4, Thunderbird 24.4, Seamonkey 2.25
कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 66278), X-Force (91857), SecurityTracker (ID 1029928), Vulnerability Center (SBV-43671) , Tenable (73111).
प्रभावित
- Mozilla Firefox 27.0
- Mozilla Firefox ESR 24.3
- Mozilla Seamonkey 2.24
- Mozilla Thunderbird 24.3.0
उत्पाद
प्रकार
विक्रेता
नाम
संस्करण
लाइसेंस
वेबसाइट
- विक्रेता: https://www.mozilla.org/
- उत्पाद: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 7.0VulDB मेटा अस्थायी स्कोर: 6.4
VulDB मूल स्कोर: 8.4
VulDB अस्थायी स्कोर: 7.3
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 5.5
NVD वेक्टर: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: अधिकार वृद्धिCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: आंशिक रूप से
स्थानीय: हाँ
दूरस्थ: आंशिक रूप से
उपलब्धता: 🔍
स्थिति: असिद्ध
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 73111
Nessus नाम: FreeBSD : mozilla -- multiple vulnerabilities (610de647-af8d-11e3-a25b-b4b52fce4ce8)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
OpenVAS ID: 803422
OpenVAS नाम: Mozilla Firefox ESR Multiple Vulnerabilities-01 Mar14 (Windows)
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍
Qualys ID: 🔍
Qualys नाम: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: अपग्रेडस्थिति: 🔍
प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍
अपग्रेड: Firefox 28
समयरेखा
16/01/2014 🔍18/03/2014 🔍
18/03/2014 🔍
18/03/2014 🔍
18/03/2014 🔍
19/03/2014 🔍
19/03/2014 🔍
19/03/2014 🔍
20/03/2014 🔍
25/11/2025 🔍
स्रोत
विक्रेता: mozilla.orgउत्पाद: mozilla.org
सलाह: MFSA2014-16
शोधकर्ता: Christoph Diehl (Ash)
संगठन: OUSPG
स्थिति: पुष्टि की गई
पुष्टि: 🔍
CVE: CVE-2014-1496 (🔍)
GCVE (CVE): GCVE-0-2014-1496
GCVE (VulDB): GCVE-100-12648
OVAL: 🔍
IAVM: 🔍
X-Force: 91857 - Mozilla Firefox,Thunderbird and SeaMonkey files privilege escalation, High Risk
SecurityFocus: 66278 - RETIRED: Mozilla Firefox/Thunderbird/SeaMonkey MFSA 2014-15 through -28 Multiple Vulnerabilities
SecurityTracker: 1029928 - Mozilla Firefox Multiple Bugs Let Local Users Gain Elevated Privileges and Remote Users Execute Arbitrary Code, Deny Service, and Obtain Information
Vulnerability Center: 43671 - Mozilla Firefox, Firefox ESR, Thunderbird and SeaMonkey Local Privilege Escalation - CVE-2014-1496, Medium
विविध: 🔍
यह भी देखें: 🔍
प्रविष्टि
बनाया गया: 20/03/2014 10:34 AMअद्यतनित: 25/11/2025 08:26 PM
परिवर्तन: 20/03/2014 10:34 AM (87), 31/01/2018 09:52 AM (9), 15/06/2021 06:42 PM (12), 15/06/2021 06:49 PM (1), 25/11/2025 08:26 PM (20)
पूर्ण: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें