Mozilla Firefox até 95 em Windows/macOS IPC Elevação de Privilégios
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade, que foi classificada como crítico, foi encontrada em Mozilla Firefox até 95. O impacto ocorre em uma função desconhecida no componente IPC Handler. A utilização pode causar Elevação de Privilégios. Esta vulnerabilidade é referenciada como CVE-2022-22750. Existe a possibilidade de executar o ataque de forma remota. Não há exploit disponível. Recomenda-se atualizar o componente afetado.
Detalhes
Uma vulnerabilidade, que foi classificada como crítico, foi encontrada em Mozilla Firefox até 95. O impacto ocorre em uma função desconhecida no componente IPC Handler. A utilização pode causar Elevação de Privilégios. Ao utilizar CWE para declarar o problema, isso direciona para CWE-265. A falha foi publicada 11/01/2022 por Jed Davis como Bug 1566608 como Aconselhamento (Site). O aviso pode ser baixado em bugzilla.mozilla.org. O relatório traz:
By generally accepting and passing resource handles across processes, a compromised content process might have confused higher privileged processes to interact with handles that the unprivileged process should not have access to.This bug only affects Firefox for Windows and MacOS. Other operating systems are unaffected.
Esta vulnerabilidade é referenciada como CVE-2022-22750. Existe a possibilidade de executar o ataque de forma remota. Não existem detalhes técnicos acessíveis. A popularidade dessa vulnerabilidade é inferior à média. Não há exploit disponível. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. O projecto MITRE ATT&CK utiliza a técnica de ataque T1611 para esta edição.
Foi declarado como não definido. Como 0-day, o preço estimado no mercado clandestino era em torno de $25k-$100k.
A atualização para a versão 96 é capaz de corrigir esta questão. Recomenda-se atualizar o componente afetado.
Produto
Tipo
Fabricante
Nome
Versão
Licença
Site
- Fabricante: https://www.mozilla.org/
- Produto: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 6.3VulDB Meta Pontuação Temporária: 6.0
VulDB Pontuação Base: 6.3
VulDB Pontuação Temporária: 6.0
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
Exploração
Classe: Elevação de PrivilégiosCWE: CWE-265 / CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: AtualizaçãoEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Atualização: Firefox 96
Linha do tempo
07/01/2022 🔍11/01/2022 🔍
11/01/2022 🔍
29/09/2022 🔍
25/10/2022 🔍
Fontes
Fabricante: mozilla.orgProduto: mozilla.org
Aconselhamento: Bug 1566608
Pessoa: Jed Davis
Estado: Confirmado
Confirmação: 🔍
CVE: CVE-2022-22750 (🔍)
GCVE (CVE): GCVE-0-2022-22750
GCVE (VulDB): GCVE-100-209826
Entrada
Criado: 29/09/2022 15h23Atualizado: 25/10/2022 15h12
Ajustamentos: 29/09/2022 15h23 (17), 29/09/2022 15h26 (30), 25/10/2022 15h12 (1)
Completo: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.