VulDB: Mozilla Firefox 3.x buffer overflow [CVE-2009-0040]
Generale
scipID: 3935
Componente colpito: Mozilla Firefox 3.x
Data di pubblicazione: 05/03/2009
Rischio: 
problematico
Voce: 94.5% completa
Data di creazione: 06/03/2009
Ultimo aggiornamento: 03/09/2012
Riassunto
In Mozilla Firefox 3.x stata rilevata una vulnerabilità di livello problematico. É interessato una funzione sconosciuta. La manipolazione di un input sconosciuto conseguenza di una vulerabilità di classe buffer overflow. Questo si osserva su riservatezza, integrità e disponibilità.
La vulnerabilità è stata pubblicata in data 05/03/2009 da mehrere. L’advisory è scaricabile da mozilla.org. CVE-2009-0040 è identificato come punto debole. La vulnerabilità è molto apprezzata, a causa della bassissima complessità. L’attacco necessita di essere iniziato localmente. Dettagli tecnici sul punto critico come anche metodo d’utilizzo non sono a disposizione.
Per almeno 129 giorni, questa vulnerabilità è stata classificata come 0-day exploit. Un plugin è disponibile per lo scanner Nessus, numero ID 38036 (USN-728-1 : firefox-3.0, xulrunner-1.9 vulnerabilities), che può aiutare a determinare l’esistenza della criticità nel sistema analizzato.
Il miglior modo suggerito per attenuare il problema è aggiornamento all’ultima versione. Una possibile soluzione è stata pubblicata 5 mesi dopo la pubblicazione della vulnerabilità. La vulnerabilità è documentata anche nel database Secunia (SA34464), SecurityFocus (BID 33990) e X-Force (48819).CVSS
Base Score: 4.1 (CVSS2#AV:L/AC:M/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Classe: Buffer overflow
Locale: Si
Remoto: No
Disponibilità: No
Nessus ID: 38036
Nessus Name: USN-728-1 : firefox-3.0, xulrunner-1.9 vulnerabilities
Nessus Family: Ubuntu Local Security Checks
Nessus Context: local
Contromisure
Raccomandazione: Upgrade
Reaction Time: 129 giorni dalla segnalazione
0-Day Time: 129 giorni dalla scoperta
Exposure Time: 129 giorni dalla pubblicazione
Timeline
15/12/2008 | CVE assegnato
05/03/2009 | Pubblicazione advisory
06/03/2009 | VulDB voce creata
23/04/2009 | Pubblicazione Nessus plugin
12/07/2009 | Pubblicazione contromisura
03/09/2012 | VulDB voce aggiornata
Fonti
Advisory: mozilla.org
Azienda: mehrere
Confermato: support.avaya.com
CVE: CVE-2009-0040 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 34464
SecurityFocus: 33990
X-Force: 48819
Vupen: ADV-2009-0632
- Ultimi contributi
- EMC RSA Authentication API Encryption Key information disclosure
- Cisco Secure Access Control System Web Interface autenticazione debole
- Python ssl.match_hostname() denial of service
- Mozilla Firefox/Thunderbird nsContentUtils::RemoveScriptBlocker buffer overflow
- Mozilla Firefox/Thunderbird nsFrameList::FirstChild buffer overflow
- Statistiche
- Archivio
