Mozilla Firefox 26 Start Page UI Content эскалация привилегий

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
5.2$0-$5k0.00

СводкаИнформация

В проблематичный обнаружена уязвимость, классифицированная как Mozilla Firefox 26. Вовлечена неизвестная функция компонента Start Page UI Content. Манипуляция приводит к эскалация привилегий. Эта уязвимость продается как CVE-2014-1489. Атака может быть инициирована удаленно. Эксплойт отсутствует. Рекомендуется обновить затронутый компонент.

ПодробностиИнформация

В проблематичный обнаружена уязвимость, классифицированная как Mozilla Firefox 26. Вовлечена неизвестная функция компонента Start Page UI Content. Манипуляция приводит к эскалация привилегий. Использование CWE для описания проблемы приводит к CWE-264. Слабость была опубликована 04.02.2014 специалистом Yazan Tommalieh под идентификатором MFSA2014-10 как Консультация (Веб-сайт). Консультация доступна для загрузки на mozilla.org. Продавец сотрудничал в координации публичного релиза.

Эта уязвимость продается как CVE-2014-1489. Назначение CVE произошло 16.01.2014. Атака может быть инициирована удаленно. Технические подробности отсутствуют. Популярность этой уязвимости ниже среднего. Эксплойт отсутствует. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Согласно MITRE ATT&CK, техника атаки, используемая в данной проблеме, имеет значение T1068.

Задано как Не определено. В 0-дневный период предполагаемая подземная цена составляла около $25k-$100k. Сканер уязвимостей Nessus предоставляет плагин с ID 72312 (FreeBSD : mozilla -- multiple vulnerabilities (1753f0ff-8dd5-11e3-9b45-b4b52fce4ce8)), который помогает определить наличие изъяна в целевой среде. Ему присвоено семейство FreeBSD Local Security Checks. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 195432 (Ubuntu Security Notification for Firefox Regression (USN-2102-2)).

Обновление до версии 27 способно решить эту проблему. Рекомендуется обновить затронутый компонент.

Данная уязвимость также присутствует в других базах данных уязвимостей: SecurityFocus (BID 65329), Secunia (SA56888), Vulnerability Center (SBV-43159) и Tenable (72312).

Затронуто

  • Mozilla Firefox 26
  • Mozilla Thunderbird 24.2
  • Mozilla SeaMonkey 2.23
  • Mozilla Firefox ESR 24.2

ПродуктИнформация

Тип

Поставщик

Имя

Версия

Лицензия

Веб-сайт

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 5.4
VulDB Meta Temp Score: 5.2

VulDB Базовый балл: 5.4
VulDB Временная оценка: 5.2
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: эскалация привилегий
CWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Nessus ID: 72312
Nessus Имя: FreeBSD : mozilla -- multiple vulnerabilities (1753f0ff-8dd5-11e3-9b45-b4b52fce4ce8)
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍

OpenVAS ID: 850569
OpenVAS Имя: SuSE Update for Mozilla openSUSE-SU-2014:0212-1 (Mozilla)
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Qualys ID: 🔍
Qualys Имя: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍

Обновление: Firefox 27

ХронологияИнформация

16.01.2014 🔍
04.02.2014 +19 дни 🔍
04.02.2014 +0 дни 🔍
04.02.2014 +0 дни 🔍
04.02.2014 +0 дни 🔍
05.02.2014 +1 дни 🔍
06.02.2014 +1 дни 🔍
06.02.2014 +0 дни 🔍
26.01.2025 +4007 дни 🔍

ИсточникиИнформация

Поставщик: mozilla.org
Продукт: mozilla.org

Консультация: MFSA2014-10
Исследователь: Yazan Tommalieh
Статус: Подтверждённый
Подтверждение: 🔍
Скоординированный: 🔍

CVE: CVE-2014-1489 (🔍)
GCVE (CVE): GCVE-0-2014-1489
GCVE (VulDB): GCVE-100-12179

OVAL: 🔍
IAVM: 🔍

X-Force: 90888
SecurityFocus: 65329 - Mozilla Firefox/SeaMonkey CVE-2014-1489 Security Vulnerability
Secunia: 56888
OSVDB: 102874
SecurityTracker: 1029717
Vulnerability Center: 43159 - Mozilla Firefox Before 27.0 Remote Data Loss Vulnerability (CVE-2014-1489), Medium

Смотрите также: 🔍

ВходИнформация

Создано: 06.02.2014 11:02
Обновлено: 26.01.2025 22:41
Изменения: 06.02.2014 11:02 (80), 31.01.2018 09:54 (4), 09.06.2021 04:02 (3), 09.06.2021 04:10 (1), 26.01.2025 22:41 (15)
Завершенный: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Обсуждение

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!