Mozilla Thunderbird до 60.7.0 iCal icalrecur_add_bydayrules Email Message повреждение памяти

CVSS Meta Temp Score	Текущая цена эксплойта (≈)	Балл интереса CTI
7.7	$0-$5k	0.00

СводкаИнформация

Обнаружена уязвимость, классифицированная как критический, в Mozilla Thunderbird до 60.7.0. Используемая неизвестная функция компонента iCal Handler. Выполнение манипуляции в составе Email Message приводит к повреждение памяти. Данная уязвимость известна под идентификатором CVE-2019-11705. Есть возможность удалённого запуска атаки. Также существует доступный эксплойт. Рекомендуется провести обновление затронутого компонента.

ПодробностиИнформация

Обнаружена уязвимость, классифицированная как критический, в Mozilla Thunderbird до 60.7.0. Используемая неизвестная функция компонента iCal Handler. Выполнение манипуляции в составе Email Message приводит к повреждение памяти. Указание проблемы через CWE ведет к CWE-119. Данная уязвимость была опубликована 23.07.2019 (Веб-сайт). Консультация размещена для скачивания на security.gentoo.org.

Данная уязвимость известна под идентификатором CVE-2019-11705. Дата назначения CVE — 03.05.2019. Есть возможность удалённого запуска атаки. Техническая информация предоставлена. Данная уязвимость менее популярна, чем в среднем. Также существует доступный эксплойт. Эксплойт доступен широкой публике и может быть использован. На данный момент актуальная стоимость эксплойта может быть около USD $0-$5k.

Присвоено значение Доказательство концепции. Эксплойт доступен для загрузки по адресу packetstormsecurity.com. В качестве 0-day ориентировочная цена на подпольном рынке составляла около $25k-$100k. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 176982 (Debian Security Update for thunderbird (DSA 4464-1)).

Обновление до версии 60.7.1 позволяет устранить данную проблему. Рекомендуется провести обновление затронутого компонента.

ПродуктИнформация

Тип

Mail Client Software

Поставщик

Mozilla

Имя

Thunderbird

Версия

Лицензия

Открытый исходный код

Веб-сайт

Поставщик: https://www.mozilla.org/

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 8.0
VulDB Meta Temp Score: 7.7

VulDB Базовый балл: 6.3
VulDB Временная оценка: 5.7
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 9.8
NVD Вектор: 🔍

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: повреждение памяти
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать