Mozilla Thunderbird HTML Email Inline SVG Image Default Browser Bypass эскалация привилегий
| CVSS Meta Temp Score | Текущая цена эксплуатации (≈) | Балл интереса CTI |
|---|---|---|
| 5.9 | $0-$5k | 0.00 |
Уязвимость была найдена в Mozilla Thunderbird. Она была оценена как проблемные. Затронута неизвестная функция компонента HTML Email Handler. Использование CWE для объявления проблемы приводит к тому, что CWE-269. Консультация доступна по адресу grepular.com.
Технические подробности отсутствуют. Популярность этой уязвимости ниже среднего. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Этой уязвимости присвоен номер T1068 проектом MITRE ATT&CK.
Объявляется proof-of-concept. Эксплойт можно загрузить по адресу grepular.com. В 0-дневный период предполагаемая подземная цена составляла около $25k-$100k.
Название патча следующее Fix it 700979. Исправление готово для загрузки по адресу bug700979.bugzilla.mozilla.org. Рекомендуется применить исправление для устранения этой проблемы.
Продукт
Тип
Поставщик
Имя
Лицензия
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Вектор: 🔍
VulDB Надежность: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 5.9
VulDB Базовый балл: 6.5
VulDB Временная оценка: 5.9
VulDB Вектор: 🔍
VulDB Надежность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| разблокировать | разблокировать | разблокировать | разблокировать | разблокировать | разблокировать |
| разблокировать | разблокировать | разблокировать | разблокировать | разблокировать | разблокировать |
| разблокировать | разблокировать | разблокировать | разблокировать | разблокировать | разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надежность: 🔍
Эксплуатация
Имя: Default Browser BypassКласс: эскалация привилегий / Default Browser Bypass
CWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Локальный: Нет
Удаленный: Да
Доступность: 🔍
Доступ: публичный
Статус: Proof-of-Concept
Автор: Mike Cardwell
Язык программирования: 🔍
Скачать: 🔍
Прогнозирование цены: 🔍
Оценка текущей цены: 🔍
| 0-Day | разблокировать | разблокировать | разблокировать | разблокировать |
|---|---|---|---|---|
| Сегодня | разблокировать | разблокировать | разблокировать | разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендуется: ПатчСтатус: 🔍
0-дневное время: 🔍
Время задержки эксплойта: 🔍
Патч: Fix it 700979
Временная шкала
26.01.2014 🔍26.01.2014 🔍
31.01.2014 🔍
29.03.2019 🔍
Источники
Поставщик: mozilla.orgКонсультация: Security Bug in Thunderbird - Open Websites in Tabs
Исследователь: Mike Cardwell
Организация: Cardwell IT Ltd.
Статус: Не определено
OSVDB: 102680
scip Labs: https://www.scip.ch/en/?labs.20161013
Разное: 🔍
Вход
Создано: 31.01.2014 14:14Обновлено: 29.03.2019 15:11
Изменения: 31.01.2014 14:14 (54), 29.03.2019 15:11 (2)
Завершить: 🔍
Cache ID: 3:33D:103
Комментариев пока нет. Языки: ru + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.