๐ Google Chrome 50 Blink V8 Binding Same-Origin Policy erweiterte Rechte
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: vuldb.com
Eine Schwachstelle wurde in Google Chrome 50 ausgemacht. Sie wurde als kritisch eingestuft. Hierbei geht es um eine unbekannte Funktion der Komponente Blink V8 Binding. Durch die Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Same-Origin Policy) ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 11.05.2016 durch Mariusz Mlynski als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Blogspot) herausgegeben. Auf googlechromereleases.blogspot.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-1668 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Ein Aktualisieren auf die Version 50.0.2661.102 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat demzufolge unmittelbar gehandelt.
Von weiterem Interesse können die folgenden Einträge sein: 87298, 87300, 87301 und 87302.
CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]
CPE
Exploiting
Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $50k-$100k (0-day) / $10k-$25k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Chrome 50.0.2661.102
Timeline
11.05.2016Advisory veröffentlicht
11.05.2016Gegenmassnahme veröffentlicht
12.05.2016VulDB Eintrag erstellt
12.05.2016VulDB Eintrag aktualisiert
Quellen
Advisory: Stable Channel Update, May 2016
Person: Mariusz Mlynski
Status: Bestätigt
CVE: CVE-2016-1668 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 87298, 87300, 87301 , 87302
Eintrag
Erstellt: 12.05.2016
Eintrag: 76.8% komplett
...