Mozilla Firefox do 22.0 CRMF Request cryptojs_interpret_key_gen_type memory corruption

CVSS Wynik metatemperaturyExploit Aktualna Cena (≈)Wynik odsetkowy CTI
9.5$0-$5k0.00

Podatność została odkryta w Mozilla Firefox do 22.0 (Web Browser). Podatnością dotknięta jest funkcja cryptojs_interpret_key_gen_type w komponencie CRMF Request Handler. Dzięki manipulacji przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przepełnienie bufora. Ma to wpływ na poufność, spójność i dostępność.

Informacja o podatności została podana do publicznej wiadomości w dniu 2013-08-06 przez osobę/y Nils z firmy MWR Labs/InfoSecurity jako MFSA 2013-65 w formie potwierdzone raport (Website). Raport na temat podatności został udostępniony pod adresem mozilla.org. Publikacja informacji została przeprowadzona we współpracy z producentem. Podatność ta została oznaczona identyfikatorem CVE-2013-1705. Luka jest łatwa do wykorzytania. Możliwe jest zdalne przeprowadzenie ataku. Do eksploitacji nie potrzeba żadnej formy uwierzytelnienia. Szczegóły techniczne są znane, ale exploit nie jest dostępny.

Skaner podatności Nessus jest wyposażony w plugin ID 75148 (openSUSE Security Update : xulrunner17 (openSUSE-SU-2013:1496-1)), który pomaga ustalić, czy dane środowisko jest podatne na atak.

Aktualizacja do wersji 23.0 eliminuje tę podatność. Potencjalne zabezpieczenie zostało opublikowane po ujawnieniu podatności.

Błąd jest również udokumentowany w bazie podatności Tenable (75148).

Produktinfo

Rodzaj

Sprzedawca

Imię

Wersja

Licencja

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv3info

VulDB Wynik metabazy: 10.0
VulDB Wynik metatemperatury: 9.5

VulDB Wynik podstawowy: 10.0
VulDB Wynik tymczasowy: 9.5
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
WektorMożliwość wykorzystaniaUwierzytelnianiePoufnośćIntegralnośćDostępność
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować

VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍

NVD Wynik podstawowy: 🔍

Exploitinfo

Klasa: Przepełnienie bufora
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Status: Nie określono

EPSS Score: 🔍
EPSS Percentile: 🔍

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayodblokowaćodblokowaćodblokowaćodblokować
Dzisiajodblokowaćodblokowaćodblokowaćodblokować

Nessus ID: 75148
Nessus Imię: openSUSE Security Update : xulrunner17 (openSUSE-SU-2013:1496-1)
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍

OpenVAS ID: 803853
OpenVAS Imię: Mozilla Firefox Multiple Vulnerabilities - August 13 (Mac OS X)
OpenVAS Plik: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Imię: 🔍

Inteligencja Zagrożeńinfo

Wysiłek: 🔍
Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍

Przeciwdziałanieinfo

Zalecane: Upgrade
Status: 🔍

Czas reakcji: 🔍
0-dniowy czas: 🔍
Czas ekspozycji: 🔍

Upgrade: Firefox 23.0

Oś czasuinfo

2013-02-13 🔍
2013-08-06 +174 dni 🔍
2013-08-06 +0 dni 🔍
2013-08-06 +0 dni 🔍
2013-08-06 +0 dni 🔍
2013-08-06 +0 dni 🔍
2013-08-07 +1 dni 🔍
2013-08-07 +0 dni 🔍
2013-08-09 +2 dni 🔍
2014-06-13 +308 dni 🔍
2021-05-21 +2534 dni 🔍

Źródłainfo

Sprzedawca: mozilla.org
Produkt: mozilla.org

Raport: MFSA 2013-65
Badacz: Nils
Organizacja: MWR Labs/InfoSecurity
Status: Potwierdzone
Potwierdzenie: 🔍
Koordynowane: 🔍

CVE: CVE-2013-1705 (🔍)
OVAL: 🔍
IAVM: 🔍

Vulnerability Center: 40870 - Mozilla Firefox Before 23.0 and SeaMonkey Before 2.20 Remote DoS and Code Execution Vulnerability via Crafted CRMF Request, Critical
SecurityFocus: 61871 - Mozilla Firefox/SeaMonkey CVE-2013-1705 Use-After-Free Remote Code Execution Vulnerability
Secunia: 54380 - Cyberfox Multiple Vulnerabilities, Highly Critical
OSVDB: 96014

Zobacz także: 🔍

Wpisinfo

Stworzono: 2013-08-09 18:49
Aktualizacje: 2021-05-21 09:28
Zmiany: 2013-08-09 18:49 (87), 2018-01-31 09:54 (3), 2021-05-21 09:28 (2)
Kompletny: 🔍
Committer:

Dyskusja

Brak komentarzy. Języki: pl + en.

Zaloguj się, aby skomentować.

PoprzedniPrzeglądKolejny

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!