| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 5.5 | $0-$5k | 0.00 |
要約
脆弱性が Mozilla Firefox 34.0.5 内に見つかりました。この脆弱性は 重大 として分類されました。 この脆弱性により影響を受けるのは、コンポーネント【Gecko Media Plugin】の未知の機能です。 操作結果として 特権昇格につながります。 この脆弱性は CVE-2014-8643 として知られています。 攻撃はリモートから実行できます。 影響を受けるコンポーネントのアップグレードを推奨します。
詳細
脆弱性が Mozilla Firefox 34.0.5 内に見つかりました。この脆弱性は 重大 として分類されました。 この脆弱性により影響を受けるのは、コンポーネント【Gecko Media Plugin】の未知の機能です。 操作結果として 特権昇格につながります。 CWEを用いて問題を定義すると、CWE-264 となります。 この脆弱性は公開されました 2015年01月13日 によりNils としてMFSA2015-07 として勧告 (ウェブサイト)。 アドバイザリはmozilla.orgから入手可能です。 ベンダーとの調整の上で公開リリースが行われました。
この脆弱性は CVE-2014-8643 として知られています。 CVEの割り当ては 2014年11月06日 に行われました。 攻撃はリモートから実行できます。 入手できる技術的詳細情報はありません。 この脆弱性の人気度は平均より低いです。 現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは攻撃手法をT1068として定義しています。 勧告では次の点が指摘されています:
Security researcher Nils discovered a mechanism to break out of the Gecko Media Plugin (GMP) sandbox on Windows systems. The GMP sandbox is currently only used to host h.264 video playback using the OpenH264 plugin but is being developed to host other other media plugins. This bug would allow an attacker to escape or bypass the GMP sandbox if another exploitable bug is found in a GMP media plugin which allowed them to compromise the GMP process.
0dayとして、推定される闇市場取引価格はおよそ $25k-$100k でした。 脆弱性スキャナーNessusはID【80538 (FreeBSD : mozilla -- multiple vulnerabilities (bd62c640-9bb9-11e4-a5ad-000c297fb80f))】のプラグインを提供しています。ターゲット環境における不具合の有無を判定するのに役立ちます。 FreeBSD Local Security Checks ファミリーに割り当てられています。 商用脆弱性スキャナーQualysではプラグイン【 167588 (OpenSuSE Security Update for seamonkey (openSUSE-SU-2015:0192-1)) 】を使用してこの問題をテストできます。
バージョン 35 をアップグレードすることで、この問題に対処できます。 影響を受けるコンポーネントのアップグレードを推奨します。 考えられる回避策が、すぐにとして脆弱性の公開後公表されました 。
この脆弱性は他の脆弱性データベースにも文書化されています: SecurityFocus (BID 72043), X-Force (99962), Secunia (SA62446), SecurityTracker (ID 1031533) , Vulnerability Center (SBV-48061).
製品
タイプ
ベンダー
名前
バージョン
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 6.3VulDB 一時的なメタスコア: 5.5
VulDB ベーススコア: 6.3
VulDB 一時的なスコア: 5.5
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 特権昇格CWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未実証
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 80538
Nessus 名前: FreeBSD : mozilla -- multiple vulnerabilities (bd62c640-9bb9-11e4-a5ad-000c297fb80f)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
OpenVAS ID: 803420
OpenVAS 名前: Mozilla Firefox Multiple Vulnerabilities-01 Jan15 (Windows)
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
アップグレード: Firefox 35
タイムライン
2014年11月06日 🔍2015年01月13日 🔍
2015年01月13日 🔍
2015年01月13日 🔍
2015年01月14日 🔍
2015年01月14日 🔍
2015年01月14日 🔍
2015年01月14日 🔍
2015年01月15日 🔍
2015年01月21日 🔍
2022年03月02日 🔍
ソース
ベンダー: mozilla.org製品: mozilla.org
勧告: MFSA2015-07
調査者: Nils
ステータス: 確認済み
確認: 🔍
調整済み: 🔍
CVE: CVE-2014-8643 (🔍)
GCVE (CVE): GCVE-0-2014-8643
GCVE (VulDB): GCVE-100-68604
X-Force: 99962 - Mozilla Firefox Gecko Media Plugin security bypass, Medium Risk
SecurityFocus: 72043 - Mozilla Firefox Gecko Media Plugin Sandbox Security Bypass Vulnerability
Secunia: 62446 - Waterfox Firefox Multiple Vulnerabilities, Highly Critical
SecurityTracker: 1031533 - Mozilla Firefox Multiple Flaws Let Remote Users Execute Arbitrary Code, Conduct Cross-Site Request Forgery Attacks, and Obtain Potentially Sensitive Information
Vulnerability Center: 48061 - Mozilla Firefox <35.0 on Windows Remote Security Bypass and DoS Related to Gecko Media Plugin (GMP) - CVE-2014-8643, Critical
その他: 🔍
関連情報: 🔍
エントリ
作成済み: 2015年01月14日 11:14更新済み: 2022年03月02日 12:27
変更: 2015年01月14日 11:14 (82), 2018年01月31日 09:55 (11), 2022年03月02日 12:27 (2)
完了: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。