Mozilla Firefox até 3.6.26/9.0 XSLT Stylesheet Excesso de tampão

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
7.2	$0-$5k	0.00

Sumárioinformação

Uma vulnerabilidade classificada como problemático foi encontrada em Mozilla Firefox até 3.6.26/9.0. Afectado é uma função desconhecida do componente XSLT Stylesheet Handler. O tratamento leva a Excesso de tampão. A vulnerabilidade é identificada como CVE-2012-0449. É possível lançar o ataque remotamente. Além disso, há uma exploração disponível. Recomenda-se a actualização do componente afectado.

Detalhesinformação

Uma vulnerabilidade classificada como problemático foi encontrada em Mozilla Firefox até 3.6.26/9.0. Afectado é uma função desconhecida do componente XSLT Stylesheet Handler. O tratamento leva a Excesso de tampão. Usar CWE para declarar o problema leva a CWE-119. O problema foi divulgado 31/01/2012 por Aki Helin como MFSA2012-08 como Aconselhamento (Site). O aconselhamento é partilhado para download em mozilla.org.

A vulnerabilidade é identificada como CVE-2012-0449. A atribuição do CVE aconteceu em 09/01/2012. É possível lançar o ataque remotamente. Não há detalhes técnicos disponíveis. A complexidade de um ataque é bastante elevada. A explorabilidade é considerada difícil. A vulnerabilidade não é bem conhecida. Além disso, há uma exploração disponível. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento.

Como 0 dia, o preço estimado do subsolo foi de cerca de $25k-$100k. O scanner de vulnerabilidade Nessus fornece um plugin com o ID 840935, que ajuda a determinar a existência da falha num ambiente alvo. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 119906 (Red Hat Update for Xulrunner Firefox (RHSA-2012:0079)).

A actualização para a versão 3.6.26 e 9.0 é capaz de abordar esta questão. Recomenda-se a actualização do componente afectado.

A vulnerabilidade consta ainda em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 51754), X-Force (72868), Secunia (SA47751), SecurityTracker (ID 1026605) e Vulnerability Center (SBV-34536).

Produtoinformação

Tipo

• Web Browser

Fabricante

• Mozilla

Nome

• Firefox

Versão

• 3.6.0
• 3.6.1
• 3.6.2
• 3.6.3
• 3.6.4
• 3.6.5
• 3.6.6
• 3.6.7
• 3.6.8
• 3.6.9
• 3.6.10
• 3.6.11
• 3.6.12
• 3.6.13
• 3.6.14
• 3.6.15
• 3.6.16
• 3.6.17
• 3.6.18
• 3.6.19
• 3.6.20
• 3.6.21
• 3.6.22
• 3.6.23
• 3.6.24
• 3.6.25
• 3.6.26
• 9.0

Licença

• código aberto

Site

• Fabricante: https://www.mozilla.org/
• Produto: https://www.mozilla.org/en-US/firefox/

CPE 2.3informação

• 🔍
• 🔍
• 🔍

CPE 2.2informação

• 🔍
• 🔍
• 🔍

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 8.3
VulDB Meta Pontuação Temporária: 7.2

VulDB Pontuação Base: 8.3
VulDB Pontuação Temporária: 7.2
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Excesso de tampão
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Privado
Estado: Não provado

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Nessus ID: 840935
Nessus Ficheiro: 🔍
Nessus Risco: 🔍

OpenVAS ID: 70719
OpenVAS Nome: Debian Security Advisory DSA 2400-1 (iceweasel)
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍

Qualys ID: 🔍
Qualys Nome: 🔍

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍

Atualização: Firefox 3.6.26/9.0

Linha do tempoinformação

09/01/2012 🔍
31/01/2012 +22 dias 🔍
31/01/2012 +0 dias 🔍
31/01/2012 +0 dias 🔍
01/02/2012 +1 dias 🔍
01/02/2012 +0 dias 🔍
01/02/2012 +0 dias 🔍
01/02/2012 +0 dias 🔍
21/02/2012 +20 dias 🔍
22/02/2012 +1 dias 🔍
16/03/2012 +23 dias 🔍
31/01/2018 +2147 dias 🔍

Fontesinformação

Fabricante: mozilla.org
Produto: mozilla.org

Aconselhamento: MFSA2012-08
Pessoa: Aki Helin
Estado: Confirmado
Confirmação: 🔍

CVE: CVE-2012-0449 (🔍)
GCVE (CVE): GCVE-0-2012-0449
GCVE (VulDB): GCVE-100-4589

OVAL: 🔍

X-Force: 72868 - Multiple Mozilla products XSLT stylesheet code execution, High Risk
SecurityFocus: 51754 - Mozilla Firefox/SeaMonkey/Thunderbird XSLT Stylesheets Denial of Service Vulnerability
Secunia: 47751 - Pale Moon Multiple Vulnerabilities, Highly Critical
OSVDB: 78740
SecurityTracker: 1026605 - Mozilla Firefox Multiple Flaws Permit Remote Code Execution, Information Disclosure, and Cross-Site Scripting Attacks
Vulnerability Center: 34536 - Mozilla Firefox, Thunderbird and SeaMonkey Remote DoS\\Code Execution via a Crafted XSLT Stylesheet, Critical

Veja também: 🔍

Entradainformação

Criado: 21/02/2012 01h00
Atualizado: 31/01/2018 09h52
Ajustamentos: 21/02/2012 01h00 (80), 31/01/2018 09h52 (11)
Completo: 🔍
Cache ID: 216:D99:103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Discussão

Do you need the next level of professionalism?

Upgrade your account now!