Уязвимость в Mozilla Windows Updater, позволяющая выполнять произвольные файлы и удалять их через повышение уровня доступа с использованием Mozilla Maintenance Service
Описание
Уязвимость в Mozilla Windows Updater заключается в манипуляции содержимым файла updater.ini, что вместе с повышением уровня доступа через Mozilla Maintenance Service позволяет выполнять произвольные файлы и удалять их. Эта уязвимость требует локального доступа к системе и затрагивает только операционные системы Windows.
Затронутые версии ПО
- Firefox ESR версий до 52.2
- Firefox версий до 54
Тип уязвимости
- Повышение уровня доступа
- Выполнение произвольных файлов
Ссылки
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Issue TrackingVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Issue TrackingVendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одновременно
Одно из
EPSS
7.8 High
CVSS3
4.6 Medium
CVSS2
Дефекты
Связанные уязвимости
An attack using manipulation of "updater.ini" contents, used by the Mozilla Windows Updater, and privilege escalation through the Mozilla Maintenance Service to allow for arbitrary file execution and deletion by the Maintenance Service, which has privileged access. Note: This attack requires local system access and only affects Windows. Other operating systems are not affected. This vulnerability affects Firefox ESR < 52.2 and Firefox < 54.
An attack using manipulation of "updater.ini" contents, used by the Mo ...
An attack using manipulation of "updater.ini" contents, used by the Mozilla Windows Updater, and privilege escalation through the Mozilla Maintenance Service to allow for arbitrary file execution and deletion by the Maintenance Service, which has privileged access. Note: This attack requires local system access and only affects Windows. Other operating systems are not affected. This vulnerability affects Firefox ESR < 52.2 and Firefox < 54.
EPSS
7.8 High
CVSS3
4.6 Medium
CVSS2