CVE-2014-1520

Опубликовано: 30 апр. 2014

Источник: nvd

CVSS2: 6.9

EPSS Низкий

Уязвимость повышения уровня доступа через подмену DLL-библиотеки в процессе обновления Mozilla Firefox и Firefox ESR для Windows

Описание

В всех версиях Mozilla Firefox до 29.0 и Firefox ESR 24.x до 24.5 на платформе Windows существует уязвимость, связанная с повышением уровня доступа. Злоумышленник может получить дополнительные привилегии, разместив вредоносный DLL-файл в временной директории на неопределённой стадии процесса обновления.

Затронутые версии ПО

Mozilla Firefox версии до 29.0
Mozilla Firefox ESR 24.x версии до 24.5

Тип уязвимости

Повышение уровня доступа

Ссылки

http://lists.fedoraproject.org/pipermail/package-announce/2014-May/132332.html
Third Party Advisory
http://lists.fedoraproject.org/pipermail/package-announce/2014-May/132437.html
Third Party Advisory
http://packetstormsecurity.com/files/161696/Mozilla-Arbitrary-Code-Execution-Privilege-Escalation.html
Third Party Advisory
VDB Entry
http://seclists.org/fulldisclosure/2021/Mar/14
Mailing List
Third Party Advisory
http://secunia.com/advisories/59866
Third Party Advisory
http://www.mozilla.org/security/announce/2014/mfsa2014-35.html
Vendor Advisory
http://www.oracle.com/technetwork/topics/security/bulletinapr2016-2952098.html
Third Party Advisory
http://www.securitytracker.com/id/1030163
Third Party Advisory
VDB Entry
https://bugzilla.mozilla.org/show_bug.cgi?id=961676
Exploit
Issue Tracking
Patch
Vendor Advisory
https://security.gentoo.org/glsa/201504-01
Third Party Advisory
http://lists.fedoraproject.org/pipermail/package-announce/2014-May/132332.html
Third Party Advisory
http://lists.fedoraproject.org/pipermail/package-announce/2014-May/132437.html
Third Party Advisory
http://packetstormsecurity.com/files/161696/Mozilla-Arbitrary-Code-Execution-Privilege-Escalation.html
Third Party Advisory
VDB Entry
http://seclists.org/fulldisclosure/2021/Mar/14
Mailing List
Third Party Advisory
http://secunia.com/advisories/59866
Third Party Advisory
http://www.mozilla.org/security/announce/2014/mfsa2014-35.html
Vendor Advisory
http://www.oracle.com/technetwork/topics/security/bulletinapr2016-2952098.html
Third Party Advisory
http://www.securitytracker.com/id/1030163
Third Party Advisory
VDB Entry
https://bugzilla.mozilla.org/show_bug.cgi?id=961676
Exploit
Issue Tracking
Patch
Vendor Advisory
https://security.gentoo.org/glsa/201504-01
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 29.0 (исключая)

cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*

Версия от 24.0 (включая) до 24.5 (исключая)

cpe:2.3:o:microsoft:windows:*:*:*:*:*:*:*:*

Конфигурация 2

Одно из

cpe:2.3:o:fedoraproject:fedora:19:*:*:*:*:*:*:*

cpe:2.3:o:fedoraproject:fedora:20:*:*:*:*:*:*:*

EPSS

Процентиль: 10%

0.00039

Низкий

6.9 Medium

CVSS2

Дефекты

CWE-269

Связанные уязвимости

CVE-2014-1520

ubuntu

больше 11 лет назад

maintenservice_installer.exe in the Maintenance Service Installer in Mozilla Firefox before 29.0 and Firefox ESR 24.x before 24.5 on Windows allows local users to gain privileges by placing a Trojan horse DLL file into a temporary directory at an unspecified point in the update process.

CVE-2014-1520

debian

больше 11 лет назад

maintenservice_installer.exe in the Maintenance Service Installer in M ...

GHSA-f8rp-8hgw-hrhp

github

больше 3 лет назад

BDU:2015-00454

fstec

больше 11 лет назад

Уязвимость программного обеспечения Firefox ESR, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации

BDU:2015-00417

fstec

больше 11 лет назад

Уязвимость браузера Firefox, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации

EPSS

Процентиль: 10%

0.00039

Низкий

6.9 Medium

CVSS2

Дефекты

CWE-269