Mozilla Firefox do 22.0 CRMF Request cryptojs_interpret_key_gen_type memory corruption
CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
---|---|---|
9.5 | $0-$5k | 0.00 |
Podatność została odkryta w Mozilla Firefox do 22.0 (Web Browser). Podatnością dotknięta jest funkcja cryptojs_interpret_key_gen_type
w komponencie CRMF Request Handler. Dzięki manipulacji przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przepełnienie bufora. Ma to wpływ na poufność, spójność i dostępność.
Informacja o podatności została podana do publicznej wiadomości w dniu 2013-08-06 przez osobę/y Nils z firmy MWR Labs/InfoSecurity jako MFSA 2013-65 w formie potwierdzone raport (Website). Raport na temat podatności został udostępniony pod adresem mozilla.org. Publikacja informacji została przeprowadzona we współpracy z producentem. Podatność ta została oznaczona identyfikatorem CVE-2013-1705. Luka jest łatwa do wykorzytania. Możliwe jest zdalne przeprowadzenie ataku. Do eksploitacji nie potrzeba żadnej formy uwierzytelnienia. Szczegóły techniczne są znane, ale exploit nie jest dostępny.
Skaner podatności Nessus jest wyposażony w plugin ID 75148 (openSUSE Security Update : xulrunner17 (openSUSE-SU-2013:1496-1)), który pomaga ustalić, czy dane środowisko jest podatne na atak.
Aktualizacja do wersji 23.0 eliminuje tę podatność. Potencjalne zabezpieczenie zostało opublikowane po ujawnieniu podatności.
Błąd jest również udokumentowany w bazie podatności Tenable (75148).
Produkt
Rodzaj
Sprzedawca
Imię
Wersja
Licencja
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 10.0VulDB Wynik metatemperatury: 9.5
VulDB Wynik podstawowy: 10.0
VulDB Wynik tymczasowy: 9.5
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
---|---|---|---|---|---|
odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
NVD Wynik podstawowy: 🔍
Exploit
Klasa: Przepełnienie buforaCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Lokalny: Nie
Zdalny: Tak
Dostępność: 🔍
Status: Nie określono
EPSS Score: 🔍
EPSS Percentile: 🔍
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
0-Day | odblokować | odblokować | odblokować | odblokować |
---|---|---|---|---|
Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Nessus ID: 75148
Nessus Imię: openSUSE Security Update : xulrunner17 (openSUSE-SU-2013:1496-1)
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 803853
OpenVAS Imię: Mozilla Firefox Multiple Vulnerabilities - August 13 (Mac OS X)
OpenVAS Plik: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Imię: 🔍
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: UpgradeStatus: 🔍
Czas reakcji: 🔍
0-dniowy czas: 🔍
Czas ekspozycji: 🔍
Upgrade: Firefox 23.0
Oś czasu
2013-02-13 🔍2013-08-06 🔍
2013-08-06 🔍
2013-08-06 🔍
2013-08-06 🔍
2013-08-06 🔍
2013-08-07 🔍
2013-08-07 🔍
2013-08-09 🔍
2014-06-13 🔍
2021-05-21 🔍
Źródła
Sprzedawca: mozilla.orgProdukt: mozilla.org
Raport: MFSA 2013-65
Badacz: Nils
Organizacja: MWR Labs/InfoSecurity
Status: Potwierdzone
Potwierdzenie: 🔍
Koordynowane: 🔍
CVE: CVE-2013-1705 (🔍)
OVAL: 🔍
IAVM: 🔍
Vulnerability Center: 40870 - Mozilla Firefox Before 23.0 and SeaMonkey Before 2.20 Remote DoS and Code Execution Vulnerability via Crafted CRMF Request, Critical
SecurityFocus: 61871 - Mozilla Firefox/SeaMonkey CVE-2013-1705 Use-After-Free Remote Code Execution Vulnerability
Secunia: 54380 - Cyberfox Multiple Vulnerabilities, Highly Critical
OSVDB: 96014
Zobacz także: 🔍
Wpis
Stworzono: 2013-08-09 18:49Aktualizacje: 2021-05-21 09:28
Zmiany: 2013-08-09 18:49 (87), 2018-01-31 09:54 (3), 2021-05-21 09:28 (2)
Kompletny: 🔍
Committer:
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.