📚 Google Chrome 49 v8 Pufferüberlauf
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 80618
Betroffen: Google Chrome 49
Veröffentlicht: 20.01.2016
Risiko: kritisch
Erstellt: 22.01.2016
Eintrag: 72.3% komplett
Beschreibung
Eine Schwachstelle wurde in Google Chrome 49 gefunden. Sie wurde als kritisch eingestuft. Betroffen davon ist eine unbekannte Funktion der Komponente v8. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 20.01.2016 als Stable Channel Update, January 2016 in Form eines bestätigten Postings (Blog) veröffentlicht. Auf googlechromereleases.blogspot.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 12.01.2016 als CVE-2016-1612 statt. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Ein Upgrade auf die Version 49.0.2623.0 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat entsprechend unmittelbar reagiert. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (109995) dokumentiert. Die Einträge 80619, 80620, 80621 und 80622 sind sehr ähnlich.CVSS
Base Score: 7.5 (CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.5 (CVSS2#E:U/RL:OF/RC:C) [?]
CPE
Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Status: Unbewiesen
Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Chrome 49.0.2623.0
Timeline
12.01.2016 | CVE zugewiesen
20.01.2016 | Advisory veröffentlicht
20.01.2016 | Gegenmassnahme veröffentlicht
22.01.2016 | VulDB Eintrag erstellt
22.01.2016 | VulDB Eintrag aktualisiert
Quellen
Advisory: Stable Channel Update, January 2016
Status: Bestätigt
CVE: CVE-2016-1612 (mitre.org) (nvd.nist.org) (cvedetails.com)
X-Force: 109995 – Google Chrome V8 code execution
Siehe auch: 80619, 80620, 80621, 80622, 80623, 80624, 80625 , 80626
...