| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
要約
脆弱性が問題があるとして分類され、Mozilla Firefox 29.0.1 on Mac OS Xで発見されました。 この問題により影響を受けるのは、コンポーネント【Cursor Handler】の未知の機能です。 この操作は、 特権昇格を引き起こします。 この脆弱性はCVE-2014-1539として取引されています。 リモートで攻撃を実行することが可能です。 影響を受けたコンポーネントのアップグレードを推奨します。
詳細
脆弱性が問題があるとして分類され、Mozilla Firefox 29.0.1 on Mac OS Xで発見されました。 この問題により影響を受けるのは、コンポーネント【Cursor Handler】の未知の機能です。 この操作は、 特権昇格を引き起こします。 問題をCWEで宣言すると、CWE-20 になります。 この脆弱性は 2014年06月10日に公開されました 、Jordi Chancelによって 、MFSA2014-50として 、勧告として (ウェブサイト)。 アドバイザリはmozilla.orgでダウンロードできます。
この脆弱性はCVE-2014-1539として取引されています。 CVEのアサインは2014年01月16日に実施されました。 リモートで攻撃を実行することが可能です。 技術詳細は存在しません。 この脆弱性の一般的な利用度は平均を下回っています。 現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 アドバイザリは以下の内容を示しています:
(…) the cursor can be rendered invisible after it has been used on an embedded flash object when used outside of the object. This flaw can be in used in combination with an image of the cursor manipulated through JavaScript, leading to clickjacking during interactions with HTML content subsequently. This issue only affects OS X and is not present on Windows or Linux systems.
0-dayとして、アンダーグラウンドでの推定価格は$25k-$100k程度でした。 Nessus脆弱性スキャナーは、IDが82632のプラグインを持っています。 この項目は Gentoo Local Security Checks ファミリーに割り当てられています。 商用脆弱性スキャナーQualysではプラグイン【 167033 (OpenSuSE Security Update for Mozilla Firefox, mozilla-nspr (openSUSE-SU-2014:0819-1)) 】を使用してこの問題をテストできます。
この問題は、30.0へのアップグレードによって解決可能です。 影響を受けたコンポーネントのアップグレードを推奨します。 脆弱性が開示されてから すぐに 経過後に、対策が提供されました。
他の脆弱性データベースにもこの脆弱性の情報があります: SecurityFocus (BID 67967), X-Force (93710), Secunia (SA59171), SecurityTracker (ID 1030388) , Vulnerability Center (SBV-44966).
影響なし
- Microsoft Windows
- Linux Kernel
製品
タイプ
ベンダー
名前
バージョン
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 5.3VulDB 一時的なメタスコア: 4.6
VulDB ベーススコア: 5.3
VulDB 一時的なスコア: 4.6
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 特権昇格CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未実証
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 82632
Nessus 名前: GLSA-201504-01 : Mozilla Products: Multiple vulnerabilities
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
OpenVAS ID: 803391
OpenVAS 名前: Mozilla Thunderbird clickjacking Vulnerability-01 July14 (Mac OS X)
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
アップグレード: Firefox 30.0
タイムライン
2014年01月16日 🔍2014年06月10日 🔍
2014年06月10日 🔍
2014年06月10日 🔍
2014年06月10日 🔍
2014年06月11日 🔍
2014年06月11日 🔍
2014年06月11日 🔍
2014年06月11日 🔍
2014年06月11日 🔍
2021年06月22日 🔍
ソース
ベンダー: mozilla.org製品: mozilla.org
勧告: MFSA2014-50
調査者: Jordi Chancel
ステータス: 確認済み
確認: 🔍
CVE: CVE-2014-1539 (🔍)
GCVE (CVE): GCVE-0-2014-1539
GCVE (VulDB): GCVE-100-13561
OVAL: 🔍
IAVM: 🔍
X-Force: 93710 - Mozilla Firefox embedded flash object clickjacking, Medium Risk
SecurityFocus: 67967 - Mozilla Firefox/Thunderbird CVE-2014-1539 Clickjacking Vulnerability
Secunia: 59171 - Mozilla Firefox Multiple Vulnerabilities, Highly Critical
SecurityTracker: 1030388 - Mozilla Firefox Multiple Flaws Let Remote Users Execute Arbitrary Code and Conduct Clickjacking Attacks
Vulnerability Center: 44966 - Mozilla Firefox Before 30.0 on MacOS X Remote Clickjacking Vulnerability via JavaScript Code - CVE-2014-1539, Medium
その他: 🔍
関連情報: 🔍
エントリ
作成済み: 2014年06月11日 23:45更新済み: 2021年06月22日 16:59
変更: 2014年06月11日 23:45 (79), 2018年01月31日 09:55 (17), 2021年06月22日 16:52 (2), 2021年06月22日 16:59 (1)
完了: 🔍
Cache ID: 216:BE8:103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。