Mozilla Firefox/Thunderbird до 17.0 Удалённое выполнение кода
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 8.1 | $0-$5k | 0.00 |
Сводка
Уязвимость, классифицированная как критический, была найдена в Mozilla Firefox and Thunderbird до 17.0. Поражена неизвестная функция компонента Javascript String Concatenation Length Calculation Validation Handler. Осуществление манипуляции приводит к Удалённое выполнение кода. Эта уязвимость известна как CVE-2013-0750. Атака может быть инициирована удаленно. Более того, эксплойт доступен. Рекомендуется выполнить обновление уязвимого компонента.
Подробности
Уязвимость, классифицированная как критический, была найдена в Mozilla Firefox and Thunderbird до 17.0. Поражена неизвестная функция компонента Javascript String Concatenation Length Calculation Validation Handler. Осуществление манипуляции приводит к Удалённое выполнение кода. Определение CWE для уязвимости следующее CWE-189. Информация о слабости была опубликована 08.01.2013 автором Sviatoslav Chagaev (pa_kt) совместно с Zero Day Initiative (ZDI) под номером MFSA 2013-12 как Консультация (Веб-сайт). Уведомление опубликовано для скачивания на mozilla.org. Поставщик был вовлечен в процесс раскрытия уязвимости.
Эта уязвимость известна как CVE-2013-0750. Присвоение CVE было выполнено 02.01.2013. Атака может быть инициирована удаленно. Технические детали недоступны. Комплексность атаки достаточно высока. Эксплуатация уязвимости считается затруднительной. Уровень популярности этой уязвимости ниже среднего значения. Более того, эксплойт доступен. В настоящее время текущая цена эксплойта может составлять примерно USD $0-$5k.
Объявляется Доказательство концепции. Мы ожидаем, что 0-день стоил приблизительно $25k-$100k. В сканере Nessus имеется плагин с ID 63431. Он отнесён к семейству CentOS Local Security Checks. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 120795 (Red Hat Update for Xulrunner Firefox (RHSA-2013:0144)).
Обновление до 18.0 может устранить эту уязвимость. Рекомендуется выполнить обновление уязвимого компонента.
Информация об уязвимости также содержится в других базах данных уязвимостей: SecurityFocus (BID 57185), X-Force (81800), Secunia (SA51752), SecurityTracker (ID 1027955) и Vulnerability Center (SBV-38002).
Продукт
Тип
Поставщик
Имя
Версия
Лицензия
Веб-сайт
- Поставщик: https://www.mozilla.org/
- Продукт: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 9.0VulDB Meta Temp Score: 8.1
VulDB Базовый балл: 9.0
VulDB Временная оценка: 8.1
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
NVD Базовый балл: 🔍
Эксплуатация
Класс: Удалённое выполнение кодаCWE: CWE-189
CAPEC: 🔍
ATT&CK: 🔍
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔍
Доступ: частный
Статус: Доказательство концепции
EPSS Score: 🔍
EPSS Percentile: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Nessus ID: 63431
Nessus Имя: CentOS 5 / 6 : firefox / xulrunner (CESA-2013:0144)
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
OpenVAS ID: 881565
OpenVAS Имя: CentOS Update for firefox CESA-2013:0144 centos5
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍
Qualys ID: 🔍
Qualys Имя: 🔍
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ОбновлениеСтатус: 🔍
Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍
Обновление: Firefox/Thunderbird 18.0
Хронология
02.01.2013 🔍08.01.2013 🔍
08.01.2013 🔍
08.01.2013 🔍
08.01.2013 🔍
09.01.2013 🔍
09.01.2013 🔍
10.01.2013 🔍
13.01.2013 🔍
13.01.2013 🔍
20.04.2021 🔍
Источники
Поставщик: mozilla.orgПродукт: mozilla.org
Консультация: MFSA 2013-12
Исследователь: Sviatoslav Chagaev (pa_kt)
Организация: Zero Day Initiative (ZDI)
Статус: Подтверждённый
Подтверждение: 🔍
Скоординированный: 🔍
CVE: CVE-2013-0750 (🔍)
GCVE (CVE): GCVE-0-2013-0750
GCVE (VulDB): GCVE-100-7300
OVAL: 🔍
X-Force: 81800 - Oracle Java Runtime Environment CVE-2013-0438 information disclosure, Medium Risk
SecurityFocus: 57185 - RETIRED: Mozilla Firefox/Thunderbird/SeaMonkey MFSA 2013-01 through -20 Multiple Vulnerabilities
Secunia: 51752 - Mozilla Firefox / Thunderbird / SeaMonkey Multiple Vulnerabilities, Highly Critical
OSVDB: 89017
SecurityTracker: 1027955 - Mozilla Firefox Multiple Bugs Let Remote Users Execute Arbitrary Code, Spoof URLs, and Bypass Same-Origin Policy
Vulnerability Center: 38002 - Mozilla Firefox, Thunderbird, and SeaMonkey Remote Code Execution - CVE-2013-0750, Critical
scip Labs: https://www.scip.ch/en/?labs.20161013
Смотрите также: 🔍
Вход
Создано: 10.01.2013 17:36Обновлено: 20.04.2021 18:06
Изменения: 10.01.2013 17:36 (54), 31.01.2018 09:53 (41), 20.04.2021 18:06 (3)
Завершенный: 🔍
Коммиттер:
Cache ID: 216:148:103
Once again VulDB remains the best source for vulnerability data.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.