Mozilla Firefox/Thunderbird до 19.0.2 Mozilla Updater эскалация привилегий
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 8.0 | $0-$5k | 0.00 |
Сводка
Уязвимость была найдена в Mozilla Firefox and Thunderbird до 19.0.2. Она была классифицирована как проблематичный. Неизвестная функция компонента Mozilla Updater используется. Осуществление манипуляции приводит к эскалация привилегий. Эта уязвимость была названа CVE-2013-0797. Атаку необходимо выполнять на локальном уровне. Эксплойт отсутствует. Рекомендуется обновить затронутый компонент.
Подробности
Уязвимость была найдена в Mozilla Firefox and Thunderbird до 19.0.2. Она была классифицирована как проблематичный. Неизвестная функция компонента Mozilla Updater используется. Осуществление манипуляции приводит к эскалация привилегий. Декларирование проблемы с помощью CWE приводит к CWE-426. Информация о слабости была опубликована 02.04.2013 автором Shuichiro Suzuki (Ash) совместно с Dell под номером MFSA2013-34 как Консультация (Веб-сайт). Консультация доступна для скачивания по адресу mozilla.org. Публичный релиз был согласован с поставщиком.
Эта уязвимость была названа CVE-2013-0797. Назначение CVE произошло 02.01.2013. Атаку необходимо выполнять на локальном уровне. Технические подробности отсутствуют. Уровень популярности этой уязвимости ниже среднего значения. Эксплойт отсутствует. На текущий момент стоимость эксплойта может быть примерно USD $0-$5k. В проекте MITRE ATT&CK эта техника атаки обозначена как T1574.
Это объявлено как Не определено. В случае 0-day эксплойта, предполагаемая цена на подпольном рынке была около $25k-$100k. Сканер уязвимостей Nessus содержит плагин с ID 65847. Это относится к семейству FreeBSD Local Security Checks. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 166260 (SUSE Enterprise Linux Security Update for Mozilla Firefox (SUSE-SU-2013:0850-1)).
Установка версии 20.0 позволяет решить данный вопрос. Рекомендуется обновить затронутый компонент.
Данная уязвимость также присутствует в других базах данных уязвимостей: SecurityFocus (BID 58818), Secunia (SA52293), SecurityTracker (ID 1028379), Vulnerability Center (SBV-38997) и Tenable (65847).
Продукт
Тип
Поставщик
Имя
Версия
Лицензия
Веб-сайт
- Поставщик: https://www.mozilla.org/
- Продукт: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 8.4VulDB Meta Temp Score: 8.0
VulDB Базовый балл: 8.4
VulDB Временная оценка: 8.0
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
NVD Базовый балл: 🔍
Эксплуатация
Класс: эскалация привилегийCWE: CWE-426
CAPEC: 🔍
ATT&CK: 🔍
Физический: Частично
Локальный: Да
Удалённый: Нет
Доступность: 🔍
Статус: Не определено
EPSS Score: 🔍
EPSS Percentile: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Nessus ID: 65847
Nessus Имя: FreeBSD : mozilla -- multiple vulnerabilities (94976433-9c74-11e2-a9fc-d43d7e0c7c02)
Nessus Файл: 🔍
Nessus Семейство: 🔍
OpenVAS ID: 803466
OpenVAS Имя: Mozilla Firefox ESR Multiple Vulnerabilities -01 Apr13 (Mac OS X)
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍
Qualys ID: 🔍
Qualys Имя: 🔍
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ОбновлениеСтатус: 🔍
Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍
Обновление: Firefox/Thunderbird 20.0
Хронология
02.01.2013 🔍02.04.2013 🔍
02.04.2013 🔍
02.04.2013 🔍
02.04.2013 🔍
03.04.2013 🔍
03.04.2013 🔍
03.04.2013 🔍
03.04.2013 🔍
04.04.2013 🔍
31.01.2018 🔍
Источники
Поставщик: mozilla.orgПродукт: mozilla.org
Консультация: MFSA2013-34
Исследователь: Shuichiro Suzuki (Ash)
Организация: Dell
Статус: Подтверждённый
Подтверждение: 🔍
Скоординированный: 🔍
CVE: CVE-2013-0797 (🔍)
GCVE (CVE): GCVE-0-2013-0797
GCVE (VulDB): GCVE-100-8143
OVAL: 🔍
SecurityFocus: 58818 - RETIRED: Mozilla Firefox/Thunderbird/SeaMonkey MFSA 2013-30 through -40 Multiple Vulnerabilities
Secunia: 52293 - Mozilla Firefox / Thunderbird / SeaMonkey Multiple Vulnerabilities, Highly Critical
OSVDB: 91878
SecurityTracker: 1028379 - Mozilla Firefox Multiple Bugs Let Remote Users Execute Arbitrary Code, Deny Service, and Conduct Phishing and Cross-Site Scripting Attacks and Let Local Users Gain Elevated Privileges
Vulnerability Center: 38997 - Mozilla Web Browsers Mozilla Updater Allows Local Privilege Escalation Vulnerability - CVE-2013-0797, High
Смотрите также: 🔍
Вход
Создано: 04.04.2013 12:03Обновлено: 31.01.2018 09:54
Изменения: 04.04.2013 12:03 (83), 31.01.2018 09:54 (7)
Завершенный: 🔍
Коммиттер: olku
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.