Mozilla Firefox/Thunderbird 14 Scalable Vector Graphics File nsTArray_base::Length requiredFeatures サービス拒否
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 9.0 | $0-$5k | 0.00 |
要約
現在、Mozilla Firefox and Thunderbird 14にて、重大と分類される脆弱性が確認されています。 対象となるのは 関数nsTArray_base::Length コンポーネントScalable Vector Graphics File Handlerのです。 引数 requiredFeaturesの操作が、 サービス拒否をもたらします。
この脆弱性はCVE-2012-3970として知られています。 さらに、攻撃手法が利用可能です。
影響コンポーネントのアップグレードを推奨します。
詳細
現在、Mozilla Firefox and Thunderbird 14にて、重大と分類される脆弱性が確認されています。 対象となるのは 関数nsTArray_base::Length コンポーネントScalable Vector Graphics File Handlerのです。 引数 requiredFeaturesの操作が、 サービス拒否をもたらします。 この脆弱性に対応するCWEの定義は CWE-399 です。 この脆弱性は 2012年08月28日に Arthur Gerkis (vsemozhetbyt)より「ウェブサイト」の 勧告にて 「MFSA 2012-63」として 紹介されました。 アドバイザリはmozilla.orgにて共有されています。 公開情報のリリースはベンダーと協議済みです。
この脆弱性はCVE-2012-3970として知られています。 CVEの割当は2012年07月11日で行われました。 技術的な情報が提供されています。 この脆弱性の一般的な利用度は平均を下回っています。 さらに、攻撃手法が利用可能です。 今のところ、エクスプロイトの価格はおよそUSD $0-$5kと推定されます。
このエクスプロイトツールは 概念実証 として宣言されています。 0-dayの際、アンダーグラウンド市場での想定価格は$5k-$25k前後でした。 脆弱性診断ツールNessusは、ID 61721のプラグインを用意しています。 これは分類【CentOS Local Security Checks 】に割り振られています。 商用脆弱性スキャナーQualysではプラグイン【 121143 (Solaris 11.1 Support Repository Update (SRU) 2.5 Missing) 】を使用してこの問題をテストできます。
バージョン15にアップグレードすることで、この問題に対処できます。 影響コンポーネントのアップグレードを推奨します。 脆弱性の開示から すぐに 後に、可能な緩和策が公表されました。
脆弱性は「SecurityFocus (BID 55278), Secunia (SA50088), SecurityTracker (ID 1027450), Vulnerability Center (SBV-36003) , Tenable (61721)」等の脆弱性データベースにも文書化されています。
製品
タイプ
ベンダー
名前
バージョン
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 10.0VulDB 一時的なメタスコア: 9.0
VulDB ベーススコア: 10.0
VulDB 一時的なスコア: 9.0
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: サービス拒否CWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: プライベート
ステータス: 概念実証
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 61721
Nessus 名前: CentOS 5 / 6 : firefox (CESA-2012:1210)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
OpenVAS ID: 71829
OpenVAS 名前: FreeBSD Ports: firefox
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
アップグレード: Firefox/Thunderbird 15
タイムライン
2012年07月11日 🔍2012年08月28日 🔍
2012年08月28日 🔍
2012年08月28日 🔍
2012年08月28日 🔍
2012年08月29日 🔍
2012年08月29日 🔍
2012年08月29日 🔍
2012年08月29日 🔍
2012年08月30日 🔍
2012年09月02日 🔍
2024年12月31日 🔍
ソース
ベンダー: mozilla.org製品: mozilla.org
勧告: MFSA 2012-63
調査者: Arthur Gerkis (vsemozhetbyt)
ステータス: 確認済み
確認: 🔍
調整済み: 🔍
CVE: CVE-2012-3970 (🔍)
GCVE (CVE): GCVE-0-2012-3970
GCVE (VulDB): GCVE-100-6058
OVAL: 🔍
SecurityFocus: 55278 - Mozilla Firefox/Thunderbird/SeaMonkey CVE-2012-3970 Use-After-Free Memory CorruptionVulnerability
Secunia: 50088 - Mozilla Firefox Multiple Vulnerabilities, Highly Critical
OSVDB: 84995
SecurityTracker: 1027450 - Mozilla Firefox Multiple Bugs Let Remote Users Execute Arbitrary Code
Vulnerability Center: 36003 - Mozilla Firefox, Thunderbird and SeaMonkey \x27requiredFeatures\x27 Attribute Use-After-Free Vulnerability, Medium
scip Labs: https://www.scip.ch/en/?labs.20161013
関連情報: 🔍
エントリ
作成済み: 2012年09月02日 09:00更新済み: 2024年12月31日 03:13
変更: 2012年09月02日 09:00 (82), 2017年04月16日 11:08 (11), 2021年03月27日 16:14 (3), 2024年10月22日 01:11 (15), 2024年12月31日 03:13 (2)
完了: 🔍
Cache ID: 216:9C2:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。