VulDB: Mozilla Firefox bis 13 Cross Site Scripting [CVE-2012-1966]
Allgemein
scipID: 5682
Betroffen: Mozilla Firefox bis 13
Veröffentlicht: 17.07.2012 (moz_bug_r_a4)
Risiko: 
problematisch
Eintrag: 90% komplett
Erstellt: 25.07.2012
Aktualisiert: 03.09.2012
Beschreibung
Es wurde eine Schwachstelle in Mozilla Firefox bis 13, ein Webbrowser, gefunden. Sie wurde als problematisch eingestuft. Es geht dabei um eine unbekannte Funktion. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Dadurch lässt sich Script-Code injizieren. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 17.07.2012 durch moz_bug_r_a4 von Mozilla Corporation als MFSA 2012-46 in Form eines Advisorys (Website) publik gemacht. Das Advisory kann von mozilla.org heruntergeladen werden. Die Veröffentlichung geschah dabei in Koordination mit dem Hersteller. Die Verwundbarkeit wird seit dem 30.03.2012 unter CVE-2012-1966 geführt. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 14 vermag dieses Problem zu beheben. Eine neue Version kann von mozilla.org bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Mozilla hat nachweislich sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (84009) und Secunia (SA49964) dokumentiert. Weiterführende Informationen auf Deutsch finden sich auf heise.de.CVSS
Base Score: 7.5 (CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Cross Site Scripting
Auswirkungen: Script-Code injizieren
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: Privat
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Firefox 14
Timeline
30.03.2012 | CVE zugewiesen
17.07.2012 | Advisory veröffentlicht
17.07.2012 | Gegenmassnahme veröffentlicht
19.07.2012 | OSVDB Eintrag erstellt
25.07.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: MFSA 2012-46
Person: moz_bug_r_a4
Firma: Mozilla Corporation
Koordiniert: Ja
OSVDB: 84009
CVE: CVE-2012-1966 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 49964
Heise: 1644037
