CVE-2013-1675

Опубликовано: 16 мая 2013

Источник: nvd

CVSS3: 6.5

CVSS2: 4.3

EPSS Низкий

Уязвимость утечки конфиденциальной информации в браузерах Mozilla Firefox и Thunderbird из-за некорректной инициализации структур данных в функциях nsDOMSVGZoomEvent::mPreviousScale и nsDOMSVGZoomEvent::mNewScale

Описание

Проблема связана с тем, что браузеры Mozilla Firefox и Thunderbird некорректно инициализируют структуры данных при вызове функций nsDOMSVGZoomEvent::mPreviousScale и nsDOMSVGZoomEvent::mNewScale. Это позволяет злоумышленникам получить доступ к конфиденциальной информации из памяти процесса через специально созданный веб-сайт.

Затронутые версии ПО

Mozilla Firefox до версии 21.0
Mozilla Firefox ESR 17.x до версии 17.0.6
Thunderbird до версии 17.0.6
Thunderbird ESR 17.x до версии 17.0.6

Тип уязвимости

Удаленное получение конфиденциальной информации

Ссылки

http://lists.opensuse.org/opensuse-security-announce/2013-05/msg00010.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2013-05/msg00011.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2013-05/msg00012.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2013-06/msg00006.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2013-06/msg00008.html
Mailing List
Third Party Advisory
http://rhn.redhat.com/errata/RHSA-2013-0820.html
Third Party Advisory
http://rhn.redhat.com/errata/RHSA-2013-0821.html
Third Party Advisory
http://www.debian.org/security/2013/dsa-2699
Mailing List
http://www.mandriva.com/security/advisories?name=MDVSA-2013:165
Broken Link
http://www.mozilla.org/security/announce/2013/mfsa2013-47.html
Vendor Advisory
http://www.securityfocus.com/bid/59858
Broken Link
Third Party Advisory
VDB Entry
http://www.ubuntu.com/usn/USN-1822-1
Third Party Advisory
http://www.ubuntu.com/usn/USN-1823-1
Third Party Advisory
https://bugzilla.mozilla.org/show_bug.cgi?id=866825
Exploit
Issue Tracking
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A16976
Broken Link
http://lists.opensuse.org/opensuse-security-announce/2013-05/msg00010.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2013-05/msg00011.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2013-05/msg00012.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2013-06/msg00006.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2013-06/msg00008.html
Mailing List
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 21.0 (исключая)

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия от 17.0 (включая) до 17.0.6 (исключая)

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*

Версия до 17.0.6 (исключая)

cpe:2.3:a:mozilla:thunderbird_esr:*:*:*:*:*:*:*:*

Версия от 17.0 (включая) до 17.0.6 (исключая)

Конфигурация 2

Одно из

cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:-:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:13.04:*:*:*:*:*:*:*

Конфигурация 3

cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:*

Конфигурация 4

Одно из

cpe:2.3:a:redhat:gluster_storage_server_for_on-premise:2.1:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_eus:5.9:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_eus:6.4:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems:5.0_s390x:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems:6.0_s390x:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems_eus:5.9_s390x:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems_eus:6.4_s390x:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_for_power_big_endian:5.0_ppc:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_for_power_big_endian:6.0_ppc64:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_for_power_big_endian_eus:5.9_ppc:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_for_power_big_endian_eus:6.4_ppc64:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_for_scientific_computing:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server_aus:5.9:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server_aus:6.4:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server_eus_from_rhui:5.9:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server_eus_from_rhui:6.4:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*

Конфигурация 5

Одно из

cpe:2.3:o:opensuse:opensuse:12.2:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:opensuse:12.3:*:*:*:*:*:*:*

EPSS

Процентиль: 85%

0.02572

Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-665

Связанные уязвимости

CVE-2013-1675

CVSS3: 6.5

ubuntu

больше 12 лет назад

Mozilla Firefox before 21.0, Firefox ESR 17.x before 17.0.6, Thunderbird before 17.0.6, and Thunderbird ESR 17.x before 17.0.6 do not properly initialize data structures for the nsDOMSVGZoomEvent::mPreviousScale and nsDOMSVGZoomEvent::mNewScale functions, which allows remote attackers to obtain sensitive information from process memory via a crafted web site.

CVE-2013-1675

redhat

больше 12 лет назад

CVE-2013-1675

CVSS3: 6.5

debian

больше 12 лет назад

Mozilla Firefox before 21.0, Firefox ESR 17.x before 17.0.6, Thunderbi ...

GHSA-7cv2-f4f9-vw96

CVSS3: 6.5

github

больше 3 лет назад

ELSA-2013-0821

oracle-oval

больше 12 лет назад

ELSA-2013-0821: thunderbird security update (IMPORTANT)

EPSS

Процентиль: 85%

0.02572

Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-665