Mozilla Firefox до 3.0.4 Layout Engine отказ в обслуживании

CVSS Meta Temp Score	Текущая цена эксплойта (≈)	Балл интереса CTI
4.8	$0-$5k	0.00

СводкаИнформация

Уязвимость была найдена в Mozilla Firefox. Она была оценена как критический. Неизвестная функция компонента Layout Engine используется. Осуществление манипуляции приводит к отказ в обслуживании. Эта уязвимость обозначается как CVE-2008-5502. Атаку можно осуществить удаленно. Эксплойт отсутствует. Рекомендуется произвести апгрейд соответствующего компонента.

ПодробностиИнформация

Уязвимость была найдена в Mozilla Firefox. Она была оценена как критический. Неизвестная функция компонента Layout Engine используется. Осуществление манипуляции приводит к отказ в обслуживании. Декларирование проблемы с помощью CWE приводит к CWE-399. Информация о слабости была опубликована 17.12.2008 автором Jesse Ruderman (moz_bug_r_a4) под номером Bug 458679 как Bug Report (Bugzilla). Документ доступен для загрузки по адресу bugzilla.mozilla.org.

Эта уязвимость обозначается как CVE-2008-5502. CVE был назначен 12.12.2008. Атаку можно осуществить удаленно. Техническая информация отсутствует. Уровень популярности этой уязвимости ниже среднего значения. Эксплойт отсутствует. В настоящее время текущая цена эксплойта может составлять примерно USD $0-$5k.

Объявляется Доказательство концепции. В случае 0-day эксплойта, предполагаемая цена на подпольном рынке была около $5k-$25k. В сканере Nessus имеется плагин с ID 43721. Он отнесён к семейству CentOS Local Security Checks. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 165625 (SUSE Enterprise Linux Security Update Mozilla (SUSE-SA:2009:002)).

Обновление до 1.0.9 может устранить эту уязвимость. Рекомендуется произвести апгрейд соответствующего компонента.

Уязвимость также задокументирована в других базах данных уязвимостей: SecurityFocus (BID 32882), X-Force (47408), Secunia (SA33216), SecurityTracker (ID 1021417) и Vulnerability Center (SBV-20261).

ПродуктИнформация

Тип

• Web Browser

Поставщик

• Mozilla

Имя

• Firefox

Версия

• 2.0
• 2.0.0.1
• 2.0.0.2
• 2.0.0.3
• 2.0.0.4
• 2.0.0.5
• 2.0.0.6
• 2.0.0.7
• 2.0.0.8
• 2.0.0.9
• 2.0.0.10
• 2.0.0.11
• 2.0.0.12
• 2.0.0.13
• 2.0.0.14
• 2.0.0.15
• 2.0.0.16
• 2.0.0.17
• 2.0.0.18
• 3.0
• 3.0.1
• 3.0.2
• 3.0.3
• 3.0.4

Лицензия

• Открытый исходный код

Веб-сайт

• Поставщик: https://www.mozilla.org/
• Продукт: https://www.mozilla.org/en-US/firefox/

CPE 2.3Информация

• 🔍
• 🔍
• 🔍

CPE 2.2Информация

• 🔍
• 🔍
• 🔍

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 4.8

VulDB Базовый балл: 5.3
VulDB Временная оценка: 4.8
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: отказ в обслуживании
CWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Доказательство концепции

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать

Nessus ID: 43721
Nessus Имя: CentOS 4 / 5 : firefox (CESA-2008:1036)
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍

OpenVAS ID: 63047
OpenVAS Имя: FreeBSD Ports: firefox
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Qualys ID: 🔍
Qualys Имя: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

0-дневное время: 🔍

Обновление: Firefox 1.0.9
PaloAlto IPS: 🔍

ХронологияИнформация

12.12.2008 🔍
16.12.2008 +4 дни 🔍
16.12.2008 +0 дни 🔍
17.12.2008 +1 дни 🔍
17.12.2008 +0 дни 🔍
17.12.2008 +0 дни 🔍
18.12.2008 +1 дни 🔍
18.12.2008 +0 дни 🔍
17.03.2015 +2280 дни 🔍
03.08.2021 +2331 дни 🔍

ИсточникиИнформация

Поставщик: mozilla.org
Продукт: mozilla.org

Консультация: Bug 458679
Исследователь: Jesse Ruderman (moz_bug_r_a4)
Статус: Подтверждённый
Подтверждение: 🔍

CVE: CVE-2008-5502 (🔍)
GCVE (CVE): GCVE-0-2008-5502
GCVE (VulDB): GCVE-100-45565

OVAL: 🔍

X-Force: 47408
SecurityFocus: 32882 - Mozilla Firefox/Thunderbird/SeaMonkey Multiple Remote Vulnerabilities
Secunia: 33216 - Ubuntu update for firefox-3.0 and xulrunner-1.9, Highly Critical
SecurityTracker: 1021417 - Mozilla Firefox Bugs in JavaScript Engine and Layout Engine May Let Remote Users Execute Arbitrary Code
Vulnerability Center: 20261 - Mozilla Firefox, Thunderbird, SeaMonkey Layout Engine Memory Corruption Remote DoS or Code Execution, Medium
Vupen: ADV-2009-0977

Смотрите также: 🔍

ВходИнформация

Создано: 17.03.2015 16:11
Обновлено: 03.08.2021 16:12
Изменения: 17.03.2015 16:11 (69), 13.04.2017 12:26 (19), 03.08.2021 16:12 (3)
Завершенный: 🔍
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Обсуждение

Interested in the pricing of exploits?

See the underground prices here!