CVE-2013-5615

Опубликовано: 11 дек. 2013

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Уязвимость некорректного применения ограничений типов в реализации JavaScript в Mozilla Firefox, Thunderbird и SeaMonkey

Описание

В реализации JavaScript в Mozilla Firefox, Thunderbird и SeaMonkey некорректно применяются определённые ограничения на обработку типизированных массивов при генерации GetElementIC заглушек. Это может иметь неуточнённые последствия и позволяет злоумышленникам осуществлять удалённые атаки.

Затронутые версии ПО

Mozilla Firefox до версии 26.0
Mozilla Firefox ESR 24.x до версии 24.2
Mozilla Thunderbird до версии 24.2
SeaMonkey до версии 2.23

Тип уязвимости

Удалённое выполнение кода

Ссылки

http://lists.fedoraproject.org/pipermail/package-announce/2013-December/123437.html
Mailing List
Third Party Advisory
http://lists.fedoraproject.org/pipermail/package-announce/2013-December/124108.html
Mailing List
Third Party Advisory
http://lists.fedoraproject.org/pipermail/package-announce/2013-December/124257.html
Mailing List
Third Party Advisory
http://lists.fedoraproject.org/pipermail/package-announce/2014-January/125470.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2013-12/msg00010.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-updates/2013-12/msg00085.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-updates/2013-12/msg00086.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-updates/2013-12/msg00087.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-updates/2013-12/msg00119.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-updates/2013-12/msg00120.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-updates/2013-12/msg00121.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-updates/2014-01/msg00002.html
Mailing List
Third Party Advisory
http://www.mozilla.org/security/announce/2013/mfsa2013-115.html
Vendor Advisory
http://www.oracle.com/technetwork/topics/security/bulletinapr2016-2952098.html
Third Party Advisory
http://www.securitytracker.com/id/1029470
Third Party Advisory
VDB Entry
http://www.securitytracker.com/id/1029476
Third Party Advisory
VDB Entry
http://www.ubuntu.com/usn/USN-2052-1
Third Party Advisory
http://www.ubuntu.com/usn/USN-2053-1
Third Party Advisory
https://bugzilla.mozilla.org/show_bug.cgi?id=929261
Exploit
Issue Tracking
Vendor Advisory
https://security.gentoo.org/glsa/201504-01
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 26.0 (исключая)

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия от 24.0 (включая) до 24.2 (исключая)

cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*

Версия до 2.23 (исключая)

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*

Версия до 24.2 (исключая)

Конфигурация 2

Одно из

cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:13.04:*:*:*:*:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:13.10:*:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:a:suse:suse_linux_enterprise_software_development_kit:11.0:sp3:*:*:*:*:*:*

cpe:2.3:o:opensuse:opensuse:12.2:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:opensuse:12.3:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:opensuse:13.1:*:*:*:*:*:*:*

cpe:2.3:o:suse:suse_linux_enterprise_desktop:11:sp3:*:*:*:*:*:*

cpe:2.3:o:suse:suse_linux_enterprise_server:11:sp3:*:*:*:-:*:*

cpe:2.3:o:suse:suse_linux_enterprise_server:11:sp3:*:*:*:vmware:*:*

Конфигурация 4

Одно из

cpe:2.3:o:fedoraproject:fedora:18:*:*:*:*:*:*:*

cpe:2.3:o:fedoraproject:fedora:19:*:*:*:*:*:*:*

cpe:2.3:o:fedoraproject:fedora:20:*:*:*:*:*:*:*

EPSS

Процентиль: 83%

0.02013

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

CVE-2013-5615

CVSS3: 9.8

ubuntu

около 12 лет назад

The JavaScript implementation in Mozilla Firefox before 26.0, Firefox ESR 24.x before 24.2, Thunderbird before 24.2, and SeaMonkey before 2.23 does not properly enforce certain typeset restrictions on the generation of GetElementIC typed array stubs, which has unspecified impact and remote attack vectors.

CVE-2013-5615

redhat

около 12 лет назад

CVE-2013-5615

CVSS3: 9.8

debian

около 12 лет назад

The JavaScript implementation in Mozilla Firefox before 26.0, Firefox ...

GHSA-7qw2-p67q-h5xq

CVSS3: 9.8

github

больше 3 лет назад

EPSS

Процентиль: 83%

0.02013

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

NVD-CWE-noinfo