Mozilla Firefox até 10.2 em Win7 32bit Window Closing File Open Dialog shlwapi.dll Negação de Serviço

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
8.9	$0-$5k	0.00

Sumárioinformação

Uma vulnerabilidade foi encontrada em Mozilla Firefox até 10.2. Foi declarada como problemático. Afectado é uma função desconhecida na biblioteca shlwapi.dll do componente Window Closing File Open Dialog. O tratamento leva a Negação de Serviço. A vulnerabilidade é identificada como CVE-2012-0454. Além disso, há uma exploração disponível. Recomenda-se a atualização do componente afetado.

Detalhesinformação

Uma vulnerabilidade foi encontrada em Mozilla Firefox até 10.2. Foi declarada como problemático. Afectado é uma função desconhecida na biblioteca shlwapi.dll do componente Window Closing File Open Dialog. O tratamento leva a Negação de Serviço. Usar a CWE para declarar o problema leva à CWE-399. O problema foi divulgado 13/03/2012 por Blair Strang and Scott Bell com Security Assessment como MFSA2012-12 como Aconselhamento (Site). O aconselhamento é partilhado para download em mozilla.org.

A vulnerabilidade é identificada como CVE-2012-0454. A atribuição do CVE aconteceu em 09/01/2012. Os detalhes técnicos estão disponíveis. A vulnerabilidade não é bem conhecida. Além disso, há uma exploração disponível. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente.

Está declarado como prova de conceito. Como 0-day, o valor estimado no submundo era aproximadamente $25k-$100k. O scanner de vulnerabilidade Nessus fornece um plugin com o ID 831610, que ajuda a determinar a existência da falha num ambiente alvo.

Atualizar para a versão 10.0.3 e 11.0 pode resolver este problema. Recomenda-se a atualização do componente afetado.

A vulnerabilidade consta ainda em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 52455), Secunia (SA48402), SecurityTracker (ID 1026803), Vulnerability Center (SBV-34641) e Tenable (831610).

Produtoinformação

Tipo

• Web Browser

Fabricante

• Mozilla

Nome

• Firefox

Versão

• 4.0
• 4.0.1
• 5.0
• 5.0.1
• 6.0
• 6.0.1
• 6.0.2
• 7.0
• 7.0.1
• 8.0
• 8.0.1
• 9.0
• 9.0.1
• 10.0
• 10.1
• 10.2

Licença

• código aberto

Site

• Fabricante: https://www.mozilla.org/
• Produto: https://www.mozilla.org/en-US/firefox/

CPE 2.3informação

• 🔍
• 🔍
• 🔍

CPE 2.2informação

• 🔍
• 🔍
• 🔍

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 9.9
VulDB Meta Pontuação Temporária: 8.9

VulDB Pontuação Base: 9.9
VulDB Pontuação Temporária: 8.9
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Negação de Serviço
CWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Privado
Estado: Prova de conceito

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Nessus ID: 831610
Nessus Ficheiro: 🔍
Nessus Risco: 🔍

OpenVAS ID: 831611
OpenVAS Nome: Mandriva Update for mozilla MDVSA-2012:032 (mozilla)
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍

Atualização: Firefox 10.0.3/11.0

Linha do tempoinformação

09/01/2012 🔍
13/03/2012 +64 dias 🔍
13/03/2012 +0 dias 🔍
13/03/2012 +0 dias 🔍
13/03/2012 +0 dias 🔍
14/03/2012 +1 dias 🔍
14/03/2012 +0 dias 🔍
15/03/2012 +1 dias 🔍
15/03/2012 +0 dias 🔍
03/08/2012 +141 dias 🔍
26/01/2025 +4559 dias 🔍

Fontesinformação

Fabricante: mozilla.org
Produto: mozilla.org

Aconselhamento: MFSA2012-12
Pessoa: Blair Strang , Scott Bell
Empresa: Security Assessment
Estado: Confirmado
Confirmação: 🔍

CVE: CVE-2012-0454 (🔍)
GCVE (CVE): GCVE-0-2012-0454
GCVE (VulDB): GCVE-100-4809

OVAL: 🔍

SecurityFocus: 52455 - Mozilla Firefox/Thunderbird/SeaMonkey 'shlwapi.dll' Use-After-Free Memory Corruption Vulnerability
Secunia: 48402 - Mozilla Firefox / Thunderbird / SeaMonkey Multiple Vulnerabilities, Highly Critical
OSVDB: 80010
SecurityTracker: 1026803
Vulnerability Center: 34641 - Mozilla Firefox, Thunderbird and SeaMonkey on 32-bit Windows 7 shlwapi.dll Remote DoS Vulnerability, Medium

scip Labs: https://www.scip.ch/en/?labs.20161013
Veja também: 🔍

Entradainformação

Criado: 15/03/2012 16h45
Atualizado: 26/01/2025 19h45
Ajustamentos: 15/03/2012 16h45 (75), 10/04/2017 11h46 (9), 21/10/2024 16h18 (17), 26/01/2025 19h45 (3)
Completo: 🔍
Cache ID: 216:8C0:103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Discussão

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!