Mozilla Firefox до 3.6.26/6.0 IPv6 Proxy XMLHttpRequest Object раскрытие информации

CVSS Meta Temp Score	Текущая цена эксплойта (≈)	Балл интереса CTI
6.2	$0-$5k	0.00

СводкаИнформация

В Mozilla Firefox до 3.6.26/6.0 была найдена уязвимость, классифицированная как проблематичный. Поражена неизвестная функция компонента IPv6 Proxy XMLHttpRequest Object Handler. Осуществление манипуляции приводит к раскрытие информации. Эта уязвимость обрабатывается как CVE-2011-3670. Атака может быть инициирована удаленно. Эксплойт отсутствует. Рекомендуется обновить затронутый компонент.

ПодробностиИнформация

В Mozilla Firefox до 3.6.26/6.0 была найдена уязвимость, классифицированная как проблематичный. Поражена неизвестная функция компонента IPv6 Proxy XMLHttpRequest Object Handler. Осуществление манипуляции приводит к раскрытие информации. Декларирование проблемы с помощью CWE приводит к CWE-200. Информация о слабости была опубликована 31.01.2012 автором TippingPoint совместно с TippingPoint's Zero Day Initiative под номером MFSA2012-02 как Консультация (Веб-сайт). Консультация доступна для скачивания по адресу mozilla.org.

Эта уязвимость обрабатывается как CVE-2011-3670. Назначение CVE произошло 23.09.2011. Атака может быть инициирована удаленно. Технические подробности отсутствуют. Уровень популярности этой уязвимости ниже среднего значения. Эксплойт отсутствует. На данный момент актуальная стоимость эксплойта может быть около USD $0-$5k. В проекте MITRE ATT&CK эта техника атаки обозначена как T1592.

Присвоено значение Не определено. В случае 0-day эксплойта, предполагаемая цена на подпольном рынке была около $5k-$25k. Сканер Nessus предлагает плагин с идентификатором 68445. Он относится к семейству Oracle Linux Local Security Checks. Он полагается на порт 0. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 119906 (Red Hat Update for Xulrunner Firefox (RHSA-2012:0079)).

Обновление до версии 3.6.26 и 6.0 позволяет устранить данную проблему. Рекомендуется обновить затронутый компонент.

Данная уязвимость также присутствует в других базах данных уязвимостей: SecurityFocus (BID 51753), X-Force (72834), Secunia (SA47770), SecurityTracker (ID 1026606) и Vulnerability Center (SBV-34510).

ПродуктИнформация

Тип

• Web Browser

Поставщик

• Mozilla

Имя

• Firefox

Версия

• 3.6.0
• 3.6.1
• 3.6.2
• 3.6.3
• 3.6.4
• 3.6.5
• 3.6.6
• 3.6.7
• 3.6.8
• 3.6.9
• 3.6.10
• 3.6.11
• 3.6.12
• 3.6.13
• 3.6.14
• 3.6.15
• 3.6.16
• 3.6.17
• 3.6.18
• 3.6.19
• 3.6.20
• 3.6.21
• 3.6.22
• 3.6.23
• 3.6.24
• 3.6.25
• 3.6.26
• 6.0

Лицензия

• Открытый исходный код

Веб-сайт

• Поставщик: https://www.mozilla.org/
• Продукт: https://www.mozilla.org/en-US/firefox/

CPE 2.3Информация

• 🔍
• 🔍
• 🔍

CPE 2.2Информация

• 🔍
• 🔍
• 🔍

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 6.5
VulDB Meta Temp Score: 6.2

VulDB Базовый балл: 6.5
VulDB Временная оценка: 6.2
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: раскрытие информации
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать

Nessus ID: 68445
Nessus Имя: Oracle Linux 4 : seamonkey (ELSA-2012-0084)
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Port: 🔍

OpenVAS ID: 70719
OpenVAS Имя: Debian Security Advisory DSA 2400-1 (iceweasel)
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Qualys ID: 🔍
Qualys Имя: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

0-дневное время: 🔍

Обновление: Firefox 3.6.26/6.0

ХронологияИнформация

23.09.2011 🔍
31.01.2012 +130 дни 🔍
31.01.2012 +0 дни 🔍
01.02.2012 +1 дни 🔍
01.02.2012 +0 дни 🔍
01.02.2012 +0 дни 🔍
03.02.2012 +2 дни 🔍
20.02.2012 +17 дни 🔍
21.02.2012 +1 дни 🔍
12.07.2013 +507 дни 🔍
20.03.2021 +2808 дни 🔍

ИсточникиИнформация

Поставщик: mozilla.org
Продукт: mozilla.org

Консультация: MFSA2012-02
Исследователь: TippingPoint
Организация: TippingPoint's Zero Day Initiative
Статус: Подтверждённый
Подтверждение: 🔍

CVE: CVE-2011-3670 (🔍)
GCVE (CVE): GCVE-0-2011-3670
GCVE (VulDB): GCVE-100-4591

OVAL: 🔍

X-Force: 72834
SecurityFocus: 51753 - Mozilla Firefox/Thunderbird/SeaMonkey Ogg Vorbis Files Memory Corruption Vulnerability
Secunia: 47770 - Debian update for iceape, Highly Critical
OSVDB: 78774
SecurityTracker: 1026606 - Mozilla Seamonkey Multiple Flaws Permit Remote Code Execution, Information Disclosure, and Cross-Site Scripting Attacks
Vulnerability Center: 34510 - Mozilla Firefox, Thunderbird and SeaMonkey IPv6 Enforcement Remote Sensitive Information Disclosure, Medium

Смотрите также: 🔍

ВходИнформация

Создано: 21.02.2012 01:00
Обновлено: 20.03.2021 16:36
Изменения: 21.02.2012 01:00 (76), 31.01.2018 09:53 (13), 20.03.2021 16:36 (2)
Завершенный: 🔍
Cache ID: 216:95E:103

Be aware that VulDB is the high quality source for vulnerability data.

Обсуждение

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!