VulDB: Mozilla Firefox bis 13 Color Management Library qcms_transform_data_rgb_out_lut_sse2 Information Disclosure
Allgemein
scipID: 5683
Betroffen: Mozilla Firefox bis 13
Veröffentlicht: 17.07.2012 (Tony Payne)
Risiko: 
problematisch
Eintrag: 92.9% komplett
Erstellt: 26.07.2012
Aktualisiert: 03.09.2012
Beschreibung
In Mozilla Firefox bis 13, ein Webbrowser, wurde eine problematische Schwachstelle gefunden. Davon betroffen ist die Funktion qcms_transform_data_rgb_out_lut_sse2 in der Bibliothek Color Management Library. Durch die Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Hiermit lässt sich Daten mitlesen. Die Auswirkungen sind bekannt für die Vertraulichkeit.
Die Schwachstelle wurde am 17.07.2012 durch Tony Payne von Google Inc. als MFSA 2012-50 in Form eines Advisorys (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter mozilla.org. Die Veröffentlichung passierte hierbei in Koordination mit Mozilla. Die Verwundbarkeit wird seit dem 30.03.2012 als CVE-2012-1960 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind technische Details sowie ein privater Exploit zur Schwachstelle bekannt.
Ein Aktualisieren auf die Version 14 vermag dieses Problem zu lösen. Eine neue Version kann von mozilla.org bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Mozilla hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (84010) und Secunia (SA49965) dokumentiert. Das Nachrichtenportal Heise veröffentlichte ebenfalls einen Artikel hierzu.CVSS
Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Information Disclosure
Auswirkungen: Daten mitlesen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: Privat
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Firefox 14
Timeline
30.03.2012 | CVE zugewiesen
17.07.2012 | Advisory veröffentlicht
17.07.2012 | Gegenmassnahme veröffentlicht
19.07.2012 | OSVDB Eintrag erstellt
26.07.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: MFSA 2012-50
Person: Tony Payne
Firma: Google Inc.
Koordiniert: Ja
OSVDB: 84010
CVE: CVE-2012-1960 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 49965
Heise: 1644037
- Letzte Einträge
- Apple QuickTime DREF Atom Handler Pufferüberlauf [CVE-2013-1017]
- Apple QuickTime H.264 Handler Pufferüberlauf [CVE-2013-1018]
- Apple QuickTime MP3 File Handler Pufferüberlauf [CVE-2013-0989]
- Apple QuickTime Sorenson Codec Handler Pufferüberlauf [CVE-2013-1019]
- Apple QuickTime JPEG Handler Pufferüberlauf [CVE-2013-1020]
- Statistiken
- Archiv
