CVE-2013-1712

Опубликовано: 07 авг. 2013

Источник: nvd

CVSS2: 6.9

EPSS Низкий

Уязвимость повышения уровня доступа через небезопасные пути поиска в updater.exe средства обновления Mozilla в программном обеспечении Mozilla Firefox и Thunderbird на платформе Windows

Описание

Множественные уязвимости небезопасного пути поиска обнаружены в updater.exe средства обновления Mozilla. Эти уязвимости позволяют локальным пользователям повысить уровень доступа с помощью троянской библиотеки DLL, размещённой в (1) каталоге обновления или (2) текущем рабочем каталоге.

Затронутые версии ПО

Mozilla Firefox до версии 23.0
Mozilla Firefox ESR 17.x до версии 17.0.8
Thunderbird до версии 17.0.8
Thunderbird ESR 17.x до версии 17.0.8

Затронутые операционные системы

Windows 7
Windows Server 2008 R2
Windows 8
Windows Server 2012

Тип уязвимости

Повышение уровня доступа

Дополнительная информация

CWE-426: Untrusted Search Path

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 22.0 (включая)

cpe:2.3:a:mozilla:firefox:17.0:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:17.0.1:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:17.0.2:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:17.0.3:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:17.0.4:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:17.0.5:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:17.0.6:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:17.0.7:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:19.0:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:19.0.1:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:19.0.2:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:20.0:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:20.0.1:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:firefox:21.0:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*

Версия до 17.0.7 (включая)

cpe:2.3:a:mozilla:thunderbird:17.0:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:thunderbird:17.0.1:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:thunderbird:17.0.2:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:thunderbird:17.0.3:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:thunderbird:17.0.4:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:thunderbird:17.0.5:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:thunderbird:17.0.6:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:thunderbird_esr:17.0:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:thunderbird_esr:17.0.1:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:thunderbird_esr:17.0.2:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:thunderbird_esr:17.0.3:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:thunderbird_esr:17.0.4:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:thunderbird_esr:17.0.5:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:thunderbird_esr:17.0.6:*:*:*:*:*:*:*

cpe:2.3:a:mozilla:thunderbird_esr:17.0.7:*:*:*:*:*:*:*

Одно из

cpe:2.3:o:microsoft:windows_7:*:*:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows_8:-:-:x64:*:*:*:*:*

cpe:2.3:o:microsoft:windows_8:-:-:x86:*:*:*:*:*

cpe:2.3:o:microsoft:windows_server_2008:r2:*:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows_server_2012:-:*:*:*:*:*:*:*

EPSS

Процентиль: 38%

0.00166

Низкий

6.9 Medium

CVSS2

Дефекты

NVD-CWE-Other

Связанные уязвимости

CVE-2013-1712

debian

больше 12 лет назад

Multiple untrusted search path vulnerabilities in updater.exe in Mozil ...

GHSA-vrw2-q2cc-chx3

github

больше 3 лет назад

Multiple untrusted search path vulnerabilities in updater.exe in Mozilla Updater in Mozilla Firefox before 23.0, Firefox ESR 17.x before 17.0.8, Thunderbird before 17.0.8, and Thunderbird ESR 17.x before 17.0.8 on Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012 allow local users to gain privileges via a Trojan horse DLL in (1) the update directory or (2) the current working directory.

SUSE-SU-2015:0447-1

suse-cvrf

больше 12 лет назад

Security update for Mozilla Firefox

SUSE-SU-2015:0446-1

suse-cvrf

больше 12 лет назад

Security update for Mozilla Firefox

EPSS

Процентиль: 38%

0.00166

Низкий

6.9 Medium

CVSS2

Дефекты

NVD-CWE-Other