Mozilla Firefox 33.0 Content Security Policy Divulgação de Informação
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade, que foi classificada como problemático, foi encontrada em Mozilla Firefox 33.0. Afetado é uma função desconhecida do componente Content Security Policy Handler. A utilização pode causar Divulgação de Informação. Esta vulnerabilidade é conhecida como CVE-2014-1591. Não existe exploit disponível. Recomenda-se atualizar o componente afetado.
Detalhes
Uma vulnerabilidade, que foi classificada como problemático, foi encontrada em Mozilla Firefox 33.0. Afetado é uma função desconhecida do componente Content Security Policy Handler. A utilização pode causar Divulgação de Informação. Ao utilizar CWE para declarar o problema, isso direciona para CWE-199. A falha foi publicada 02/12/2014 por Muneaki Nishimura como mfsa2014-86 como Aconselhamento (Site). O comunicado está disponível para download em mozilla.org.
Esta vulnerabilidade é conhecida como CVE-2014-1591. A atribuição do CVE ocorreu em 16/01/2014. Não há detalhes técnicos disponíveis. A popularidade desta vulnerabilidade está abaixo da média. Não existe exploit disponível. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. O projeto MITRE ATT&CK reconhece a técnica de ataque como T1592. O comunicado destaca:
Security researcher Muneaki Nishimura discovered that Content Security Policy (CSP) violation reports triggered by a redirect did not remove path information as required by the CSP specification. This potentially reveals information about the redirect that would not otherwise be known to the original site. This could be used by a malicious site to obtain sensitive information such as usernames or single-sign-on tokens encoded within the target URLs.
Como 0-day, o preço estimado no mercado clandestino era em torno de $5k-$25k. O Nessus oferece um plugin com o ID 79707 para detecção de vulnerabilidades. Encontra-se atribuído à família FreeBSD Local Security Checks. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 195686 (Ubuntu Security Notification for Firefox Vulnerabilities (USN-2424-1)).
A atualização para a versão 34 é capaz de corrigir esta questão. Recomenda-se atualizar o componente afetado.
A vulnerabilidade está também documentada noutras bases de dados de vulnerabilidade: SecurityFocus (BID 71399), X-Force (99063), SecurityTracker (ID 1031286), Vulnerability Center (SBV-47394) e Tenable (79707).
Produto
Tipo
Fabricante
Nome
Versão
Licença
Site
- Fabricante: https://www.mozilla.org/
- Produto: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 5.3VulDB Meta Pontuação Temporária: 4.6
VulDB Pontuação Base: 5.3
VulDB Pontuação Temporária: 4.6
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Divulgação de InformaçãoCWE: CWE-199 / CWE-200 / CWE-284
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não provado
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 79707
Nessus Nome: FreeBSD : mozilla -- multiple vulnerabilities (7ae61870-9dd2-4884-a2f2-f19bb5784d09)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
OpenVAS ID: 803170
OpenVAS Nome: SeaMonkey Multiple Vulnerabilities-01 Dec14 (Windows)
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍
Qualys ID: 🔍
Qualys Nome: 🔍
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: AtualizaçãoEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Atualização: Firefox 34
Linha do tempo
16/01/2014 🔍02/12/2014 🔍
02/12/2014 🔍
02/12/2014 🔍
02/12/2014 🔍
03/12/2014 🔍
03/12/2014 🔍
03/12/2014 🔍
11/12/2014 🔍
27/02/2022 🔍
Fontes
Fabricante: mozilla.orgProduto: mozilla.org
Aconselhamento: mfsa2014-86
Pessoa: Muneaki Nishimura
Estado: Confirmado
Confirmação: 🔍
CVE: CVE-2014-1591 (🔍)
GCVE (CVE): GCVE-0-2014-1591
GCVE (VulDB): GCVE-100-68310
OVAL: 🔍
X-Force: 99063 - Mozilla Firefox CSP information disclosure, Medium Risk
SecurityFocus: 71399 - Mozilla Firefox CVE-2014-1591 Information Disclosure Vulnerability
SecurityTracker: 1031286 - Mozilla Firefox Bugs Let Remote Users Execute Arbitrary Code, Bypass Security Restrictions, and Obtain Potentially Sensitive Information
Vulnerability Center: 47394 - Mozilla Firefox before 33 and SeaMonkey before 2.31 Remote Information Disclosure Vulnerability via a Malicious Webpage, Medium
Vários: 🔍
Veja também: 🔍
Entrada
Criado: 03/12/2014 10h26Atualizado: 27/02/2022 12h35
Ajustamentos: 03/12/2014 10h26 (85), 13/06/2017 08h47 (2), 27/02/2022 12h35 (3)
Completo: 🔍
Cache ID: 216:239:103
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.