Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2017-5428

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 9.8
CVSS2: 7.5
EPSS Низкий

Уязвимость переполнения целого числа в функции createImageBitmap() в Firefox и Firefox ESR через экспериментальные расширения API

Описание

Была обнаружена уязвимость переполнения целого числа в функции createImageBitmap(), о чем было сообщено в рамках конкурса Pwn2Own. Для устранения этой уязвимости были отключены экспериментальные расширения API createImageBitmap. Эта функция работает в песочнице содержимого, поэтому для компрометации компьютера пользователя требуется вторая уязвимость.

Затронутые версии ПО

  • Firefox ESR до версии 52.0.1
  • Firefox до версии 52.0.1

Тип уязвимости

Переполнение целого числа

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.3:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.3:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:*
Конфигурация 2
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 52.0.1 (исключая)
Конфигурация 3
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 52.0.1 (исключая)

EPSS

Процентиль: 58%
0.00371
Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-190

Связанные уязвимости

ubuntu логотип

CVE-2017-5428

CVSS3: 9.8
ubuntu
больше 7 лет назад

An integer overflow in "createImageBitmap()" was reported through the Pwn2Own contest. The fix for this vulnerability disables the experimental extensions to the "createImageBitmap" API. This function runs in the content sandbox, requiring a second vulnerability to compromise a user's computer. This vulnerability affects Firefox ESR < 52.0.1 and Firefox < 52.0.1.

redhat логотип

CVE-2017-5428

CVSS3: 9.8
redhat
почти 9 лет назад

An integer overflow in "createImageBitmap()" was reported through the Pwn2Own contest. The fix for this vulnerability disables the experimental extensions to the "createImageBitmap" API. This function runs in the content sandbox, requiring a second vulnerability to compromise a user's computer. This vulnerability affects Firefox ESR < 52.0.1 and Firefox < 52.0.1.

debian логотип

CVE-2017-5428

CVSS3: 9.8
debian
больше 7 лет назад

An integer overflow in "createImageBitmap()" was reported through the ...

suse-cvrf логотип

openSUSE-SU-2017:0765-1

suse-cvrf
почти 9 лет назад

Security update for Mozilla Firefox

github логотип

GHSA-3c9m-5j33-vjf4

CVSS3: 9.8
github
больше 3 лет назад

An integer overflow in "createImageBitmap()" was reported through the Pwn2Own contest. The fix for this vulnerability disables the experimental extensions to the "createImageBitmap" API. This function runs in the content sandbox, requiring a second vulnerability to compromise a user's computer. This vulnerability affects Firefox ESR < 52.0.1 and Firefox < 52.0.1.

EPSS

Процентиль: 58%
0.00371
Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-190