Mozilla Firefox 43 Cookie Name Control Character раскрытие информации
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
Сводка
Была найдена уязвимость, отнесённая к категории критический, в Mozilla Firefox 43. Используемая неизвестная функция компонента Cookie Name Handler. Выполнение манипуляции в составе Control Character приводит к раскрытие информации. Уязвимость зарегистрирована как CVE-2015-7208. Эксплойт отсутствует. Рекомендуется произвести апгрейд соответствующего компонента.
Подробности
Была найдена уязвимость, отнесённая к категории критический, в Mozilla Firefox 43. Используемая неизвестная функция компонента Cookie Name Handler. Выполнение манипуляции в составе Control Character приводит к раскрытие информации. Использование CWE для объявления проблемы приводит к тому, что CWE-200. Данная уязвимость была опубликована 26.01.2016 исследователем musicDespiteEverything and Nicholas Hurley с идентификатором MFSA2016-04 в виде Security Advisory (Веб-сайт). Консультация доступна по адресу mozilla.org.
Уязвимость зарегистрирована как CVE-2015-7208. CVE был назначен 16.09.2015. Техническая информация отсутствует. Данная уязвимость менее популярна, чем в среднем. Эксплойт отсутствует. Сейчас цена на эксплойт приблизительно равна USD $0-$5k. Проект MITRE ATT&CK объявляет технику атаки как T1592. В предупреждении говорится:
Security researcher musicDespiteEverything previously reported an issue where illegal control characters were stored in as cookie values in violation of RFC6265. While fixing this issue, Mozilla developer Nicholas Hurley realized that the same issue applied to the names of cookies. These characters have now been disallowed in cookie names. This issue could result in incorrect cookie handling by web servers.
Указано значение Не определено. Как 0-day, оценочная цена на теневом рынке составляла примерно $5k-$25k. Сканер уязвимостей Nessus предоставляет плагин с идентификатором 87385. Он принадлежит семейству FreeBSD Local Security Checks. Плагин работает в контексте типа l. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 168483 (OpenSuSE Security Update for Mozilla Firefox (openSUSE-SU-2016:0306-1)).
Переход на версию 44 способен решить эту проблему. Рекомендуется произвести апгрейд соответствующего компонента.
Уязвимость также задокументирована в других базах данных уязвимостей: SecurityFocus (BID 79280) и Tenable (87385).
Продукт
Тип
Поставщик
Имя
Версия
Лицензия
Веб-сайт
- Поставщик: https://www.mozilla.org/
- Продукт: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.0
VulDB Базовый балл: 7.3
VulDB Временная оценка: 7.0
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
NVD Базовый балл: 🔍
Эксплуатация
Класс: раскрытие информацииCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔍
Статус: Не определено
EPSS Score: 🔍
EPSS Percentile: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Nessus ID: 87385
Nessus Имя: FreeBSD : mozilla -- multiple vulnerabilities (2c2d1c39-1396-459a-91f5-ca03ee7c64c6)
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Context: 🔍
OpenVAS ID: 803852
OpenVAS Имя: Mozilla Firefox Multiple Vulnerabilities - Dec15 (Windows)
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍
Qualys ID: 🔍
Qualys Имя: 🔍
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ОбновлениеСтатус: 🔍
Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍
Обновление: Firefox 44
Хронология
16.09.2015 🔍14.12.2015 🔍
15.12.2015 🔍
16.12.2015 🔍
26.01.2016 🔍
26.01.2016 🔍
27.01.2016 🔍
06.07.2022 🔍
Источники
Поставщик: mozilla.orgПродукт: mozilla.org
Консультация: MFSA2016-04
Исследователь: musicDespiteEverything, Nicholas Hurley
Статус: Подтверждённый
Подтверждение: 🔍
CVE: CVE-2015-7208 (🔍)
GCVE (CVE): GCVE-0-2015-7208
GCVE (VulDB): GCVE-100-80697
SecurityFocus: 79280 - Mozilla Firefox Multiple Security Vulnerabilities
SecurityTracker: 1034426
Разное: 🔍
Смотрите также: 🔍
Вход
Создано: 27.01.2016 13:43Обновлено: 06.07.2022 13:21
Изменения: 27.01.2016 13:43 (66), 23.07.2018 07:56 (10), 06.07.2022 13:21 (3)
Завершенный: 🔍
Cache ID: 216:9FE:103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.