CVSS: 10.0EPSS: 50%CPEs: 2EXPL: 0CVE-2008-4064 – Mozilla crashes with evidence of memory corruption
https://notcve.org/view.php?id=CVE-2008-4064
Multiple unspecified vulnerabilities in Mozilla Firefox 3.x before 3.0.2 allow remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via vectors related to graphics rendering and (1) handling of a long alert messagebox in the cairo_surface_set_device_offset function, (2) integer overflows when handling animated PNG data in the info_callback function in nsPNGDecoder.cpp, and (3) an integer overflow when handling SVG data in the nsSVGFEGaussianBlurElement::SetupPredivide function in nsSVGFilters.cpp. Múltiples vulnerabilidades no especificadas en Firefox de Mozilla 3.x antes de 3.0.2 permite a atacantes remotos provocar una denegación de servicio (corrupción de memoria y caída de aplicación) o posiblemente ejecutar código de su elección mediante vectores relacionados con renderizado de gráficos y (1) manipulado de una caja de mensaje de alerta larga en la función cairo_surface_set_device_offset, (2) desbordamientos de entero cuando se manipulan datos PNG animados en la función info_callback en nsPNGDecoder.cpp, y (3) un desbordamiento de entero cuando se manipulan datos SVG en la función nsSVGFEGaussianBlurElement::SetupPredivide en nsSVGFilters.cpp. • http://lists.opensuse.org/opensuse-security-announce/2008-10/msg00005.html http://secunia.com/advisories/31987 http://secunia.com/advisories/32011 http://secunia.com/advisories/32012 http://secunia.com/advisories/32025 http://secunia.com/advisories/32044 http://secunia.com/advisories/32082 http://secunia.com/advisories/32089 http://secunia.com/advisories/32095 http://secunia.com/advisories/32096 http://secunia.com/advisories/32196 http://secunia.com/advisories/34501 http:// • CWE-399: Resource Management Errors •
CVSS: 4.3EPSS: 95%CPEs: 3EXPL: 2CVE-2008-4066 – Mozilla low surrogates stripped from JavaScript before execution
https://notcve.org/view.php?id=CVE-2008-4066
Mozilla Firefox 2.0.0.14, and other versions before 2.0.0.17, allows remote attackers to bypass cross-site scripting (XSS) protection mechanisms and conduct XSS attacks via HTML-escaped low surrogate characters that are ignored by the HTML parser, as demonstrated by a "jav�ascript" sequence, aka "HTML escaped low surrogates bug." Mozilla Firefox versión 2.0.0.14, y otras versiones anteriores a 2.0.0.17, permiten a los atacantes remotos omitir los mecanismos de protección de cross-site scripting (XSS) y conducir ataques de tipo XSS por medio de caracteres sustitutos bajos con escape de HTML que son ignorados por el analizador HTML, como es demostrado por una secuencia "jav?ascript", también se conoce como "HTML escaped low surrogates bug." • http://blogs.technet.com/bluehat/archive/2008/08/14/targeted-fuzzing.aspx http://download.novell.com/Download?buildid=WZXONb-tqBw~ http://jvn.jp/en/jp/JVN96950482/index.html http://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-000058.html http://lists.opensuse.org/opensuse-security-announce/2008-10/msg00005.html http://secunia.com/advisories/31984 http://secunia.com/advisories/31985 http://secunia.com/advisories/32007 http://secunia.com/advisories/32010 http://secunia.com/advi • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2008-3444
https://notcve.org/view.php?id=CVE-2008-3444
The content layout component in Mozilla Firefox 3.0 and 3.0.1 allows remote attackers to cause a denial of service (NULL pointer dereference and application crash) via a crafted but well-formed web page that contains "a simple set of legitimate HTML tags." El componente de diseño de contenido de Mozilla Firefox 3.0 y 3.0.1, permite a atacantes remotos provocar una denegación de servicio (referencia a puntero nulo y caída de la aplicación) a través de una página web manipulada pero bien formada que contiene "un conjunto de etiquetas HTML válidas" • http://blog.mozilla.com/security/2008/07/30/low-risk-denial-of-service-in-firefox http://www.radware.com/newsevents/pressrelease.aspx?id=6459 http://www.securityfocus.com/bid/30486 https://bugzilla.mozilla.org/show_bug.cgi?id=448564 https://exchange.xforce.ibmcloud.com/vulnerabilities/44169 • CWE-20: Improper Input Validation •
CVSS: 8.8EPSS: 7%CPEs: 3EXPL: 1CVE-2008-2934
https://notcve.org/view.php?id=CVE-2008-2934
Mozilla Firefox 3 before 3.0.1 on Mac OS X allows remote attackers to cause a denial of service (application crash) or possibly execute arbitrary code via a crafted GIF file that triggers a free of an uninitialized pointer. Mozilla Firefox 3 anterior a la versión 3.0.1 sobre Mac OS X permite a atacante remotos causar una denegación de servicio (Con caida de la aplicación) o posiblemente ejecutar codigo arbitrario mediante un fichero GIF manipulado que ocasiona la liberacion de un puntero no inicializado. • http://secunia.com/advisories/31132 http://secunia.com/advisories/31270 http://secunia.com/advisories/34501 http://securitytracker.com/id?1020516 http://sunsolve.sun.com/search/document.do?assetkey=1-26-256408-1 http://www.mozilla.org/security/announce/2008/mfsa2008-36.html http://www.securityfocus.com/bid/30266 http://www.ubuntu.com/usn/usn-626-1 http://www.vupen.com/english/advisories/2008/2125 http://www.vupen.com/english/advisories/2009/0977 https://bugzilla.mo • CWE-908: Use of Uninitialized Resource •
CVSS: 7.5EPSS: 2%CPEs: 1EXPL: 0CVE-2008-3198
https://notcve.org/view.php?id=CVE-2008-3198
Mozilla Firefox 3.x before 3.0.1 allows remote attackers to inject arbitrary web script into a chrome document via unspecified vectors, as demonstrated by injection into a XUL error page. NOTE: this can be leveraged to execute arbitrary code using CVE-2008-2933. Mozilla Firefox en versiones 3.x anteriores a 3.0.1 que permiten a los atacantes remotos insertar código arbitrario de secuencia de comandos web dentro de un documento chrome a través de vectores no especificados, como se demuestra por inyección en una página de error XUL. NOTA: Esto puede ser escalado a ejecutar código arbitrario usando CVE-2008-2933. • http://www.mozilla.org/security/announce/2008/mfsa2008-35.html http://www.securityfocus.com/bid/30244 https://bugzilla.mozilla.org/show_bug.cgi?id=441169 https://exchange.xforce.ibmcloud.com/vulnerabilities/44199 https://access.redhat.com/security/cve/CVE-2008-3198 https://bugzilla.redhat.com/show_bug.cgi?id=1618332 • CWE-94: Improper Control of Generation of Code ('Code Injection') •