📚 Google Chrome 49 PDFium Out-of-Bounds Pufferüberlauf
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 80625
Betroffen: Google Chrome 49
Veröffentlicht: 20.01.2016
Risiko: kritisch
Erstellt: 22.01.2016
Eintrag: 72.8% komplett
Beschreibung
Es wurde eine kritische Schwachstelle in Google Chrome 49 gefunden. Es betrifft eine unbekannte Funktion der Komponente PDFium. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Out-of-Bounds) ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 20.01.2016 als Stable Channel Update, January 2016 in Form eines bestätigten Postings (Blog) publiziert. Das Advisory kann von googlechromereleases.blogspot.com heruntergeladen werden. Die Identifikation der Schwachstelle wird seit dem 12.01.2016 mit CVE-2016-1619 vorgenommen. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Ein Aktualisieren auf die Version 49.0.2623.0 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat daher unmittelbar gehandelt. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (110002) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 80618, 80619, 80620 und 80621.CVSS
Base Score: 7.5 (CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.5 (CVSS2#E:U/RL:OF/RC:C) [?]
CPE
Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Status: Unbewiesen
Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Chrome 49.0.2623.0
Timeline
12.01.2016 | CVE zugewiesen
20.01.2016 | Advisory veröffentlicht
20.01.2016 | Gegenmassnahme veröffentlicht
22.01.2016 | VulDB Eintrag erstellt
22.01.2016 | VulDB Eintrag aktualisiert
Quellen
Advisory: Stable Channel Update, January 2016
Status: Bestätigt
CVE: CVE-2016-1619 (mitre.org) (nvd.nist.org) (cvedetails.com)
X-Force: 110002 – Google Chrome PDFium code execution
Siehe auch: 80618, 80619, 80620, 80621, 80622, 80623, 80624 , 80626
...