Mozilla Firefox/Thunderbird 24.0 Blob URL NewChannelFromURIWithProxyFlags повреждение памяти

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
8.6$0-$5k0.00

СводкаИнформация

Обнаружена уязвимость, классифицированная как критический, в Mozilla Firefox and Thunderbird 24.0. Неизвестная функция компонента Blob URL Handler затронута. Осуществление манипуляции приводит к повреждение памяти. Данная уязвимость известна под идентификатором CVE-2013-5600. Атаку можно провести дистанционно. Эксплойт недоступен. Рекомендуется выполнить обновление уязвимого компонента.

ПодробностиИнформация

Обнаружена уязвимость, классифицированная как критический, в Mozilla Firefox and Thunderbird 24.0. Неизвестная функция компонента Blob URL Handler затронута. Осуществление манипуляции приводит к повреждение памяти. Определение CWE для уязвимости следующее CWE-416. Информация о слабости была опубликована 29.10.2013 автором Nils под номером Mozilla Foundation Security Advisory 2013-100 как Консультация (Веб-сайт). Консультация представлена на сайте mozilla.org. Публичное раскрытие информации было согласовано с продавцом.

Данная уязвимость известна под идентификатором CVE-2013-5600. Присвоение CVE было выполнено 26.08.2013. Атаку можно провести дистанционно. Технические детали доступны. Комплексность атаки достаточно высока. Эксплуатация уязвимости считается затруднительной. Уровень популярности этой уязвимости ниже среднего значения. Эксплойт недоступен. На данный момент актуальная стоимость эксплойта может быть около USD $0-$5k.

Присвоено значение Не определено. Мы ожидаем, что 0-день стоил приблизительно $25k-$100k. Сканер Nessus предлагает плагин с идентификатором 70688. Он относится к семейству CentOS Local Security Checks. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 121562 (Red Hat Update for Xulrunner Firefox (RHSA-2013:1476)).

Обновление до версии 25.0 позволяет устранить данную проблему. Обновление можно загрузить с сайта mozilla.org. Рекомендуется выполнить обновление уязвимого компонента.

Информация об уязвимости также содержится в других базах данных уязвимостей: SecurityFocus (BID 63405), Secunia (SA55483), Vulnerability Center (SBV-42136) и Tenable (70688).

Затронуто

  • Firefox 24.0
  • Thunderbird 24.0
  • SeaMonkey 2.21
  • Firefox ESR 24.0
  • Firefox ESR 17.0.9
  • Thunderbird ESR 17.0.9

ПродуктИнформация

Тип

Поставщик

Имя

Версия

Лицензия

Веб-сайт

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 9.0
VulDB Meta Temp Score: 8.6

VulDB Базовый балл: 9.0
VulDB Временная оценка: 8.6
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: повреждение памяти
CWE: CWE-416 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Nessus ID: 70688
Nessus Имя: CentOS 5 / 6 : firefox (CESA-2013:1476)
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍

OpenVAS ID: 892788
OpenVAS Имя: Debian Security Advisory DSA 2788-1 (iceweasel - several vulnerabilities
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Qualys ID: 🔍
Qualys Имя: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍

Обновление: Firefox/Thunderbird 25.0

ХронологияИнформация

26.08.2013 🔍
29.10.2013 +64 дни 🔍
29.10.2013 +0 дни 🔍
29.10.2013 +0 дни 🔍
30.10.2013 +1 дни 🔍
30.10.2013 +0 дни 🔍
30.10.2013 +0 дни 🔍
01.11.2013 +2 дни 🔍
25.11.2025 +4407 дни 🔍

ИсточникиИнформация

Поставщик: mozilla.org
Продукт: mozilla.org

Консультация: Mozilla Foundation Security Advisory 2013-100
Исследователь: Nils
Статус: Подтверждённый
Подтверждение: 🔍
Скоординированный: 🔍

CVE: CVE-2013-5600 (🔍)
GCVE (CVE): GCVE-0-2013-5600
GCVE (VulDB): GCVE-100-11056

OVAL: 🔍
IAVM: 🔍

SecurityFocus: 63405
Secunia: 55483 - Ubuntu update for firefox, Highly Critical
OSVDB: 99092
Vulnerability Center: 42136 - Mozilla Firefox, Thunderbird and Seamonkey Remote Code Execution and DoS due to Use-After-Free Vulnerability (CVE-2013-5600), Critical

Разное: 🔍
Смотрите также: 🔍

ВходИнформация

Создано: 01.11.2013 10:33
Обновлено: 25.11.2025 19:00
Изменения: 01.11.2013 10:33 (87), 31.01.2018 09:55 (1), 01.06.2021 15:15 (3), 25.11.2025 19:00 (15)
Завершенный: 🔍
Коммиттер:
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Обсуждение

Do you need the next level of professionalism?

Upgrade your account now!