CVE-2019-9811

Опубликовано: 23 июл. 2019

Источник: nvd

CVSS3: 8.3

CVSS2: 5.1

EPSS Низкий

Уязвимость выхода из песочницы в Mozilla Firefox и Thunderbird через установку вредоносного языкового пакета

Описание

Исследователь в рамках конкурса Pwn2Own продемонстрировал уязвимость выхода из песочницы путем установки вредоносного языкового пакета и открытия функции браузера, использующей компрометированный перевод.

Затронутые версии ПО

Firefox ESR < 60.8
Firefox < 68
Thunderbird < 60.8

Тип уязвимости

Выход из песочницы

Ссылки

http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00055.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00058.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00073.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html
Third Party Advisory
https://bugzilla.mozilla.org/show_bug.cgi?id=1538007
Issue Tracking
Permissions Required
https://bugzilla.mozilla.org/show_bug.cgi?id=1539598
Exploit
Issue Tracking
Patch
Vendor Advisory
https://bugzilla.mozilla.org/show_bug.cgi?id=1563327
Exploit
Issue Tracking
Vendor Advisory
https://lists.debian.org/debian-lts-announce/2019/08/msg00001.html
Mailing List
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2019/08/msg00002.html
Mailing List
Third Party Advisory
https://security.gentoo.org/glsa/201908-12
Third Party Advisory
https://security.gentoo.org/glsa/201908-20
Third Party Advisory
https://www.mozilla.org/security/advisories/mfsa2019-21/
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2019-22/
Vendor Advisory
https://www.mozilla.org/security/advisories/mfsa2019-23/
Vendor Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00055.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00058.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00073.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00011.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00017.html
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 68.0 (исключая)

cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*

Версия до 60.8 (исключая)

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*

Версия до 60.8 (исключая)

Конфигурация 2

cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:a:novell:suse_package_hub_for_suse_linux_enterprise:12:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:leap:15.0:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*

EPSS

Процентиль: 72%

0.00733

Низкий

8.3 High

CVSS3

5.1 Medium

CVSS2

Дефекты

CWE-74

Связанные уязвимости

CVE-2019-9811

CVSS3: 8.3

ubuntu

больше 6 лет назад

As part of a winning Pwn2Own entry, a researcher demonstrated a sandbox escape by installing a malicious language pack and then opening a browser feature that used the compromised translation. This vulnerability affects Firefox ESR < 60.8, Firefox < 68, and Thunderbird < 60.8.

CVE-2019-9811

CVSS3: 7.5

redhat

больше 6 лет назад

CVE-2019-9811

CVSS3: 8.3

debian

больше 6 лет назад

As part of a winning Pwn2Own entry, a researcher demonstrated a sandbo ...

GHSA-63j5-535g-4392

CVSS3: 8.3

github

больше 3 лет назад

BDU:2019-02933

CVSS3: 8.3

fstec

больше 6 лет назад

Уязвимость браузеров Firefox ESR, Firefox и почтового клиента Thunderbird, связанная с недостатками разграничения доступа, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 72%

0.00733

Низкий

8.3 High

CVSS3

5.1 Medium

CVSS2

Дефекты

CWE-74