CVE-2019-17021

Опубликовано: 08 янв. 2020

Источник: nvd

CVSS3: 5.3

CVSS2: 2.6

EPSS Низкий

Уязвимость раскрытия адресов кучи из родительского процесса в Firefox из-за состояния гонки при инициализации нового процесса содержимого

Описание

В процессе инициализации нового процесса содержимого возникает состояние гонки (race condition), позволяющее процессу раскрыть адреса кучи из родительского процесса.

Примечание: эта уязвимость проявляется только на Windows. Другие операционные системы этой проблеме не подвержены.

Затронутые версии ПО

Firefox ESR версии ниже 68.4
Firefox версии ниже 72

Тип уязвимости

Раскрытие информации

Ссылки

http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00029.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00043.html
Mailing List
Third Party Advisory
http://packetstormsecurity.com/files/155912/Slackware-Security-Advisory-mozilla-thunderbird-Updates.html
Exploit
Third Party Advisory
VDB Entry
https://bugzilla.mozilla.org/show_bug.cgi?id=1599008
Exploit
Issue Tracking
Permissions Required
https://seclists.org/bugtraq/2020/Jan/18
Mailing List
Third Party Advisory
https://www.mozilla.org/security/advisories/mfsa2020-01/
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2020-02/
Vendor Advisory
http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00029.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00043.html
Mailing List
Third Party Advisory
http://packetstormsecurity.com/files/155912/Slackware-Security-Advisory-mozilla-thunderbird-Updates.html
Exploit
Third Party Advisory
VDB Entry
https://bugzilla.mozilla.org/show_bug.cgi?id=1599008
Exploit
Issue Tracking
Permissions Required
https://seclists.org/bugtraq/2020/Jan/18
Mailing List
Third Party Advisory
https://www.mozilla.org/security/advisories/mfsa2020-01/
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2020-02/
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 72.0 (исключая)

cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*

Версия до 68.4 (исключая)

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

Конфигурация 2

cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*

EPSS

Процентиль: 64%

0.00472

Низкий

5.3 Medium

CVSS3

2.6 Low

CVSS2

Дефекты

CWE-362

Связанные уязвимости

CVE-2019-17021

CVSS3: 5.3

ubuntu

больше 5 лет назад

During the initialization of a new content process, a race condition occurs that can allow a content process to disclose heap addresses from the parent process. *Note: this issue only occurs on Windows. Other operating systems are unaffected.*. This vulnerability affects Firefox ESR < 68.4 and Firefox < 72.

CVE-2019-17021

CVSS3: 6.1

redhat

больше 5 лет назад

CVE-2019-17021

CVSS3: 5.3

debian

больше 5 лет назад

During the initialization of a new content process, a race condition o ...

GHSA-23vm-fc59-7qjv

github

около 3 лет назад

BDU:2022-05738

CVSS3: 5.3

fstec

больше 5 лет назад

Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю раскрыть защищаемую информацию

EPSS

Процентиль: 64%

0.00472

Низкий

5.3 Medium

CVSS3

2.6 Low

CVSS2

Дефекты

CWE-362