| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
要約
現在、Mozilla Firefox 33.0にて、重大と分類される脆弱性が確認されています。 対象となるのは 不明な関数 コンポーネントXBL Bindingのです。 操作結果として 特権昇格につながります。 この脆弱性はCVE-2014-1589として知られています。 影響コンポーネントのアップグレードを推奨します。
詳細
現在、Mozilla Firefox 33.0にて、重大と分類される脆弱性が確認されています。 対象となるのは 不明な関数 コンポーネントXBL Bindingのです。 操作結果として 特権昇格につながります。 この脆弱性に対応するCWEの定義は CWE-284 です。 この脆弱性は 2014年12月02日に Cody Crewsより「ウェブサイト」の 勧告にて 「mfsa2014-84」として 紹介されました。 アドバイザリはmozilla.orgでダウンロードできます。
この脆弱性はCVE-2014-1589として知られています。 CVEの割当は2014年01月16日で行われました。 技術的な情報は提供されていません。 この脆弱性の一般的な利用度は平均を下回っています。 今のところ、エクスプロイトの価格はおよそUSD $0-$5kと推定されます。 MITRE ATT&CKプロジェクトによると、攻撃手法はT1068です。 勧告では次の点が指摘されています:
Security researcher Cody Crews reported a method to trigger chrome level XML Binding Language (XBL) bindings through web content. This was possible because some chrome accessible CSS stylesheets had their primary namespace improperly declared. When this occurred, it was possible to use these stylesheets to manipulate XBL bindings, allowing web content to bypass security restrictions. This issue was limited to a specific set of stylesheets.
0-dayの際、アンダーグラウンド市場での想定価格は$25k-$100k前後でした。 脆弱性診断ツールNessusは、ID 79707のプラグインを用意しています。 これは分類【FreeBSD Local Security Checks 】に割り振られています。 商用脆弱性スキャナーQualysではプラグイン【 195686 (Ubuntu Security Notification for Firefox Vulnerabilities (USN-2424-1)) 】を使用してこの問題をテストできます。
バージョン 34 をアップグレードすることで、この問題に対処できます。 影響コンポーネントのアップグレードを推奨します。 脆弱性の開示から すぐに 後に、可能な緩和策が公表されました。
脆弱性は「SecurityFocus (BID 71393), X-Force (99061), SecurityTracker (ID 1031286), Vulnerability Center (SBV-47383) , Tenable (79707)」等の脆弱性データベースにも文書化されています。
製品
タイプ
ベンダー
名前
バージョン
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 5.3VulDB 一時的なメタスコア: 4.6
VulDB ベーススコア: 5.3
VulDB 一時的なスコア: 4.6
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 特権昇格CWE: CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未実証
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 79707
Nessus 名前: FreeBSD : mozilla -- multiple vulnerabilities (7ae61870-9dd2-4884-a2f2-f19bb5784d09)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
OpenVAS ID: 803463
OpenVAS 名前: Mozilla Firefox Multiple Vulnerabilities-01 Dec14 (Windows)
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
アップグレード: Firefox 34
タイムライン
2014年01月16日 🔍2014年12月02日 🔍
2014年12月02日 🔍
2014年12月02日 🔍
2014年12月02日 🔍
2014年12月03日 🔍
2014年12月03日 🔍
2014年12月03日 🔍
2014年12月11日 🔍
2022年02月27日 🔍
ソース
ベンダー: mozilla.org製品: mozilla.org
勧告: mfsa2014-84
調査者: Cody Crews
ステータス: 確認済み
確認: 🔍
CVE: CVE-2014-1589 (🔍)
GCVE (CVE): GCVE-0-2014-1589
GCVE (VulDB): GCVE-100-68308
OVAL: 🔍
X-Force: 99061 - Mozilla Firefox XBL bindings security bypass, Medium Risk
SecurityFocus: 71393 - Mozilla Firefox CVE-2014-1589 XBL Bindings Security Bypass Vulnerability
SecurityTracker: 1031286 - Mozilla Firefox Bugs Let Remote Users Execute Arbitrary Code, Bypass Security Restrictions, and Obtain Potentially Sensitive Information
Vulnerability Center: 47383 - Mozilla Firefox before 34 and SeaMonkey before 2.31 Security Restrictions Bypass Vulnerability via a Crafted Webpage, Medium
その他: 🔍
関連情報: 🔍
エントリ
作成済み: 2014年12月03日 10:22更新済み: 2022年02月27日 12:12
変更: 2014年12月03日 10:22 (85), 2017年06月13日 08:45 (2), 2022年02月27日 12:12 (3)
完了: 🔍
Cache ID: 216:958:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。