Mozilla Firefox/Thunderbird 16.0.1/16.0.2 XPCWrappedNative::Mark Từ chối dịch vụ

| CVSS Điểm tạm thời meta | Giá khai thác hiện tại (≈) | Điểm quan tâm CTI |
|---|---|---|
| 8.1 | $0-$5k | 0.00 |
Tóm tắt
Một điểm yếu được xếp loại là nghiêm trọng đã được tìm thấy ở Mozilla Firefox and Thunderbird 16.0.1/16.0.2. Thành phần bị tác động gồm chức năng XPCWrappedNative::Mark. Việc xử lý có thể dẫn đến Từ chối dịch vụ.
Lỗ hổng này được giao dịch dưới mã CVE-2012-4212. Tấn công có thể được khởi tạo từ xa. Hơn nữa, đã có mã khai thác sẵn sàng.
Đề xuất nâng cấp thành phần bị ảnh hưởng.
Chi tiết
Một điểm yếu được xếp loại là nghiêm trọng đã được tìm thấy ở Mozilla Firefox and Thunderbird 16.0.1/16.0.2. Thành phần bị tác động gồm chức năng XPCWrappedNative::Mark. Việc xử lý có thể dẫn đến Từ chối dịch vụ. Việc sử dụng CWE để khai báo sự cố dẫn đến CWE-399. Thông tin về điểm yếu đã được công bố vào ngày 20/11/2012 bởi Abhishek Arya (Inferno) với sự tham gia của Google Chrome Security với định danh mfsa2012-105 dưới dạng Khuyến cáo (Trang web). Bản khuyến nghị được chia sẻ để tải xuống tại mozilla.org. Việc tiết lộ công khai có sự phối hợp từ phía nhà cung cấp.
Lỗ hổng này được giao dịch dưới mã CVE-2012-4212. Việc gán CVE đã diễn ra vào 08/08/2012. Tấn công có thể được khởi tạo từ xa. Có thông tin chi tiết kỹ thuật. Tấn công yêu cầu độ phức tạp cao. Người ta cho rằng việc khai thác là khó thực hiện. Mức độ phổ biến của lỗ hổng này dưới mức trung bình. Hơn nữa, đã có mã khai thác sẵn sàng. Hiện thời, giá của một exploit có thể vào khoảng USD $0-$5k.
Nó được tuyên bố là bằng chứng khái niệm. Giai đoạn 0-day, giá ngầm ước tính vào khoảng $25k-$100k. Trình quét lỗ hổng Nessus cung cấp một plugin với ID 803058, giúp xác định sự tồn tại của lỗ hổng trong môi trường mục tiêu. Trình quét lỗ hổng thương mại Qualys có thể kiểm tra vấn đề này bằng plugin 165846 (SUSE Security Update to Firefox 17.0 and other Mozilla (openSUSE-SU-2013:0175-1)).
Nâng cấp lên phiên bản 17.0 có thể khắc phục sự cố này. Phiên bản cập nhật sẵn sàng để tải xuống tại mozilla.org. Đề xuất nâng cấp thành phần bị ảnh hưởng.
Lỗ hổng cũng được ghi lại trong các cơ sở dữ liệu lỗ hổng khác: SecurityFocus (BID 56629), X-Force (80191), Secunia (SA51381), Vulnerability Center (SBV-37369) , Tenable (803058).
Sản phẩm
Loại
Nhà cung cấp
Tên
Phiên bản
Giấy phép
Trang web
- Nhà cung cấp: https://www.mozilla.org/
- Sản phẩm: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Độ tin cậy: 🔍
CVSSv3
VulDB Điểm cơ sở meta: 9.0VulDB Điểm tạm thời meta: 8.1
VulDB Điểm cơ sở: 9.0
VulDB Điểm tạm thời: 8.1
VulDB Vector: 🔍
VulDB Độ tin cậy: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Véc-tơ | Độ phức tạp | Xác thực | Bí mật | Toàn vẹn | Khả dụng |
|---|---|---|---|---|---|
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
VulDB Điểm cơ sở: 🔍
VulDB Điểm tạm thời: 🔍
VulDB Độ tin cậy: 🔍
NVD Điểm cơ sở: 🔍
Khai thác
Lớp: Từ chối dịch vụCWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Vật lý: Không
Cục bộ: Không
Từ xa: Có
Khả dụng: 🔍
Truy cập: Riêng tư
Trạng thái: Bằng chứng khái niệm
EPSS Score: 🔍
EPSS Percentile: 🔍
Dự đoán giá: 🔍
Ước tính giá hiện tại: 🔍
| 0-Day | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
|---|---|---|---|---|
| Hôm nay | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
Nessus ID: 803058
Nessus Tệp tin: 🔍
Nessus Rủi ro: 🔍
OpenVAS ID: 72599
OpenVAS Tên: FreeBSD Ports: firefox
OpenVAS Tệp tin: 🔍
OpenVAS Gia đình: 🔍
Qualys ID: 🔍
Qualys Tên: 🔍
Tình báo mối đe dọa
Sự quan tâm: 🔍Diễn viên đang hoạt động: 🔍
Nhóm APT đang hoạt động: 🔍
Biện pháp đối phó
Khuyến nghị: nâng cấpTrạng thái: 🔍
Thời gian phản ứng: 🔍
Thời gian 0-ngày: 🔍
Thời gian tiếp xúc: 🔍
nâng cấp: Firefox/Thunderbird 17.0
dòng thời gian
08/08/2012 🔍20/11/2012 🔍
20/11/2012 🔍
20/11/2012 🔍
20/11/2012 🔍
21/11/2012 🔍
21/11/2012 🔍
25/11/2012 🔍
26/11/2012 🔍
26/11/2012 🔍
31/01/2018 🔍
Nguồn
Nhà cung cấp: mozilla.orgSản phẩm: mozilla.org
Khuyến cáo: mfsa2012-105
Nhà nghiên cứu: Abhishek Arya (Inferno)
Tổ chức: Google Chrome Security
Trạng thái: Không được định nghĩa
Xác nhận: 🔍
Đã phối hợp: 🔍
CVE: CVE-2012-4212 (🔍)
GCVE (CVE): GCVE-0-2012-4212
GCVE (VulDB): GCVE-100-7003
OVAL: 🔍
X-Force: 80191
SecurityFocus: 56629 - Mozilla Firefox/Thunderbird/SeaMonkey CVE-2012-4209 Cross Site Scripting Vulnerability
Secunia: 51381 - Mozilla SeaMonkey Multiple Vulnerabilities, Highly Critical
OSVDB: 87605
Vulnerability Center: 37369 - Mozilla Firefox, Thunderbird and SeaMonkey Arbitrary Code Execution Vulnerability - CVE-2012-4212, Critical
scip Labs: https://www.scip.ch/en/?labs.20161013
Xem thêm: 🔍
mục
Được tạo: 26/11/2012 11:20Đã cập nhật: 31/01/2018 09:54
Thay đổi: 26/11/2012 11:20 (86), 31/01/2018 09:54 (3)
Hoàn chỉnh: 🔍
Người cam kết:
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Chưa có bình luận nào Ngôn ngữ: vi + km + en.
Vui lòng đăng nhập để bình luận