VulDB: Mozilla Firefox bis 13 JavaScript SandBox Utility javascript: URL Pufferüberlauf
Allgemein
scipID: 5686
Betroffen: Mozilla Firefox bis 13
Veröffentlicht: 17.07.2012 (moz_bug_r_a4)
Risiko: 
kritisch
Eintrag: 92.9% komplett
Erstellt: 26.07.2012
Aktualisiert: 28.12.2012
Beschreibung
In Mozilla Firefox bis 13, ein Webbrowser, wurde eine kritische Schwachstelle ausgemacht. Betroffen davon ist eine unbekannte Funktion der Komponente JavaScript SandBox Utility. Mittels dem Manipulieren durch javascript: URL kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dadurch kann man Programmcode ausführen. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 17.07.2012 durch moz_bug_r_a4 von Mozilla Corporation als MFSA 2012-56 in Form eines Advisorys (Website) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter mozilla.org. Die Veröffentlichung wurde in Zusammenarbeit mit dem Hersteller durchgeführt. Eine eindeutige Identifikation der Schwachstelle wird seit dem 30.03.2012 mit CVE-2012-1967 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 14 vermag dieses Problem zu beheben. Eine neue Version kann von mozilla.org bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Mozilla hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (84013) und Secunia (SA49963) dokumentiert. Ein Bericht in deutscher Sprache wird mitunter durch Heise bereitgestellt.CVSS
Base Score: 9.3 (CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: Privat
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Firefox 14
Timeline
30.03.2012 | CVE zugewiesen
17.07.2012 | Advisory veröffentlicht
17.07.2012 | Gegenmassnahme veröffentlicht
19.07.2012 | OSVDB Eintrag erstellt
26.07.2012 | VulDB Eintrag erstellt
28.12.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: MFSA 2012-56
Person: moz_bug_r_a4
Firma: Mozilla Corporation
Koordiniert: Ja
OSVDB: 84013
CVE: CVE-2012-1967 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 49963
Heise: 1644037
- Letzte Einträge
- Apple QuickTime DREF Atom Handler Pufferüberlauf [CVE-2013-1017]
- Apple QuickTime H.264 Handler Pufferüberlauf [CVE-2013-1018]
- Apple QuickTime MP3 File Handler Pufferüberlauf [CVE-2013-0989]
- Apple QuickTime Sorenson Codec Handler Pufferüberlauf [CVE-2013-1019]
- Apple QuickTime JPEG Handler Pufferüberlauf [CVE-2013-1020]
- Statistiken
- Archiv
