📚 Google Chrome 49 Blink Information Disclosure
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 80620
Betroffen: Google Chrome 49
Veröffentlicht: 20.01.2016
Risiko: problematisch
Erstellt: 22.01.2016
Eintrag: 72.3% komplett
Beschreibung
In Google Chrome 49 wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Es geht um eine unbekannte Funktion der Komponente Blink. Dank Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für die Vertraulichkeit.
Die Schwachstelle wurde am 20.01.2016 als Stable Channel Update, January 2016 in Form eines bestätigten Postings (Blog) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter googlechromereleases.blogspot.com. Eine eindeutige Identifikation der Schwachstelle wird seit dem 12.01.2016 mit CVE-2016-1614 vorgenommen. Sie gilt als leicht ausnutzbar. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 49.0.2623.0 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat offensichtlich unmittelbar reagiert. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (109997) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 80618, 80619, 80621 und 80622.CVSS
Base Score: 5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N) [?]
Temp Score: 3.7 (CVSS2#E:U/RL:OF/RC:C) [?]
CPE
Exploiting
Klasse: Information Disclosure
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Status: Unbewiesen
Aktuelle Preisschätzung: $25k-$50k (0-day) / $5k-$10k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Chrome 49.0.2623.0
Timeline
12.01.2016 | CVE zugewiesen
20.01.2016 | Advisory veröffentlicht
20.01.2016 | Gegenmassnahme veröffentlicht
22.01.2016 | VulDB Eintrag erstellt
22.01.2016 | VulDB Eintrag aktualisiert
Quellen
Advisory: Stable Channel Update, January 2016
Status: Bestätigt
CVE: CVE-2016-1614 (mitre.org) (nvd.nist.org) (cvedetails.com)
X-Force: 109997 – Google Chrome Blink information disclosure
Siehe auch: 80618, 80619, 80621, 80622, 80623, 80624, 80625 , 80626
...