| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
問題がある として分類されている脆弱性が Mozilla Firefox 33.0 内に見つかりました。 影響を受けるのは、コンポーネント【Content Security Policy Handler】の未知の関数です。 未知の値で改ざんすることが、 情報の漏洩を突く攻撃に繋がります。 この問題をCWEでは、CWE-199 と定義しました。 この脆弱性は 2014年12月02日に Muneaki Nishimuraより「Website」の アドバイザリーにて 「mfsa2014-86」として 紹介されました。 アドバイザリーは mozilla.org にてダウンロード用に公開されています。
この脆弱性は CVE-2014-1591 として知られています。 CVEの割り当ては 2014年01月16日 に行われました。 入手できる技術的詳細情報はありません。 入手できるエクスプロイトツールはありません。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは、攻撃手法を T1592 と定義しています。 アドバイザリーは次を指摘しています。
Security researcher Muneaki Nishimura discovered that Content Security Policy (CSP) violation reports triggered by a redirect did not remove path information as required by the CSP specification. This potentially reveals information about the redirect that would not otherwise be known to the original site. This could be used by a malicious site to obtain sensitive information such as usernames or single-sign-on tokens encoded within the target URLs.
0dayとして、推定される闇市場取引価格はおよそ $5k-$25k でした。 脆弱性スキャナーNessusはID【79707 (FreeBSD : mozilla -- multiple vulnerabilities (7ae61870-9dd2-4884-a2f2-f19bb5784d09))】のプラグインを提供しています。ターゲット環境における不具合の有無を判定するのに役立ちます。 これは分類【FreeBSD Local Security Checks 】に割り振られています。 商用脆弱性スキャナーQualysではプラグイン【 195686 (Ubuntu Security Notification for Firefox Vulnerabilities (USN-2424-1)) 】を使用してこの問題をテストできます。
バージョン 34 をアップグレードすることで、この問題に対処できます。 影響を受けているコンポーネントのアップグレードを推奨します。 考えられる回避策が、すぐにとして脆弱性の公開後公表されました 。
脆弱性は「SecurityFocus (BID 71399), X-Force (99063), SecurityTracker (ID 1031286), Vulnerability Center (SBV-47394) , Tenable (79707)」等の脆弱性データベースにも文書化されています。
製品
タイプ
ベンダー
名前
バージョン
ライセンス
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB 方向性: 🔍
VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 5.3VulDB 一時的なメタスコア: 4.6
VulDB ベーススコア: 5.3
VulDB 一時的なスコア: 4.6
VulDB 方向性: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 方向性 | 複雑度 | 認証 | 守秘義務性 | 誠実性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用する
クラス: 情報の漏洩CWE: CWE-199 / CWE-200 / CWE-284
ATT&CK: T1592
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未実証
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 79707
Nessus 名前: FreeBSD : mozilla -- multiple vulnerabilities (7ae61870-9dd2-4884-a2f2-f19bb5784d09)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
OpenVAS ID: 803170
OpenVAS 名前: SeaMonkey Multiple Vulnerabilities-01 Dec14 (Windows)
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
脅威インテリジェンス
関心: 🔍アクティブ アクター: 🔍
アクティブな APT グループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露日時: 🔍
アップグレード: Firefox 34
タイムライン
2014年01月16日 🔍2014年12月02日 🔍
2014年12月02日 🔍
2014年12月02日 🔍
2014年12月02日 🔍
2014年12月03日 🔍
2014年12月03日 🔍
2014年12月03日 🔍
2014年12月11日 🔍
2022年02月27日 🔍
ソース
ベンダー: mozilla.org製品: mozilla.org
アドバイザリー: mfsa2014-86
調査者: Muneaki Nishimura
ステータス: 確認済み
確認: 🔍
CVE: CVE-2014-1591 (🔍)
OVAL: 🔍
X-Force: 99063 - Mozilla Firefox CSP information disclosure, Medium Risk
SecurityTracker: 1031286 - Mozilla Firefox Bugs Let Remote Users Execute Arbitrary Code, Bypass Security Restrictions, and Obtain Potentially Sensitive Information
Vulnerability Center: 47394 - Mozilla Firefox before 33 and SeaMonkey before 2.31 Remote Information Disclosure Vulnerability via a Malicious Webpage, Medium
SecurityFocus: 71399 - Mozilla Firefox CVE-2014-1591 Information Disclosure Vulnerability
その他: 🔍
関連情報: : 🔍
エントリ
作成済み: 2014年12月03日 10:26更新済み: 2022年02月27日 12:35
変更: 2014年12月03日 10:26 (85), 2017年06月13日 08:47 (2), 2022年02月27日 12:35 (3)
完了: 🔍
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。