Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2014-1482

Опубликовано: 06 фев. 2014
Источник: nvd
CVSS3: 8.8
CVSS2: 9.3
EPSS Низкий

Уязвимость выполнения произвольного кода и DoS атаки в Mozilla Firefox, Thunderbird и SeaMonkey через некорректные операции записи при обработке изображений

Описание

В компоненте RasterImage.cpp в Mozilla Firefox версии до 27.0, Firefox ESR 24.x до версии 24.3, Thunderbird до версии 24.3 и SeaMonkey до версии 2.24 отсутствует защита от доступа к отсеянным данным. Это позволяет злоумышленникам выполнять произвольный код или вызвать DoS атаку с помощью специально подготовленных данных изображения, как это продемонстрировано в Goo Create.

Затронутые версии ПО

  • Mozilla Firefox до версии 27.0
  • Firefox ESR 24.x до версии 24.3
  • Thunderbird до версии 24.3
  • SeaMonkey до версии 2.24

Тип уязвимости

  • Выполнение произвольного кода
  • DoS атака через некорректные операции записи

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 27.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия от 24.0 (включая) до 24.3 (исключая)
cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*
Версия до 2.24 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 24.3 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:13.10:*:*:*:*:*:*:*
Конфигурация 3
cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:*
Конфигурация 4

Одно из

cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_eus:6.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:6.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:6.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_tus:6.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:5.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:*:*:*:*:*:*:*
Конфигурация 5

Одно из

cpe:2.3:o:fedoraproject:fedora:19:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:20:*:*:*:*:*:*:*
Конфигурация 6

Одно из

cpe:2.3:a:suse:suse_linux_enterprise_software_development_kit:11.0:sp3:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:11.4:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:12.3:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:13.1:*:*:*:*:*:*:*
cpe:2.3:o:suse:suse_linux_enterprise_desktop:11:sp3:*:*:*:*:*:*
cpe:2.3:o:suse:suse_linux_enterprise_server:11:sp3:*:*:*:-:*:*
cpe:2.3:o:suse:suse_linux_enterprise_server:11:sp3:*:*:*:vmware:*:*

EPSS

Процентиль: 84%
0.02255
Низкий

8.8 High

CVSS3

9.3 Critical

CVSS2

Дефекты

CWE-787

Связанные уязвимости

ubuntu логотип

CVE-2014-1482

CVSS3: 8.8
ubuntu
больше 11 лет назад

RasterImage.cpp in Mozilla Firefox before 27.0, Firefox ESR 24.x before 24.3, Thunderbird before 24.3, and SeaMonkey before 2.24 does not prevent access to discarded data, which allows remote attackers to execute arbitrary code or cause a denial of service (incorrect write operations) via crafted image data, as demonstrated by Goo Create.

redhat логотип

CVE-2014-1482

redhat
больше 11 лет назад

RasterImage.cpp in Mozilla Firefox before 27.0, Firefox ESR 24.x before 24.3, Thunderbird before 24.3, and SeaMonkey before 2.24 does not prevent access to discarded data, which allows remote attackers to execute arbitrary code or cause a denial of service (incorrect write operations) via crafted image data, as demonstrated by Goo Create.

debian логотип

CVE-2014-1482

CVSS3: 8.8
debian
больше 11 лет назад

RasterImage.cpp in Mozilla Firefox before 27.0, Firefox ESR 24.x befor ...

github логотип

GHSA-q396-v2jq-cj35

CVSS3: 8.8
github
около 3 лет назад

RasterImage.cpp in Mozilla Firefox before 27.0, Firefox ESR 24.x before 24.3, Thunderbird before 24.3, and SeaMonkey before 2.24 does not prevent access to discarded data, which allows remote attackers to execute arbitrary code or cause a denial of service (incorrect write operations) via crafted image data, as demonstrated by Goo Create.

fstec логотип

BDU:2014-00301

fstec
больше 11 лет назад

Уязвимость пакета программ Mozilla SeaMonkey, позволяющая злоумышленнику выполнить произвольный код или выполнить отказ в обслуживании

EPSS

Процентиль: 84%
0.02255
Низкий

8.8 High

CVSS3

9.3 Critical

CVSS2

Дефекты

CWE-787