📚 BitDefender my.bitdefender Auth Token erweiterte Rechte
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine Schwachstelle wurde in BitDefender my.bitdefender - eine genaue Versionsangabe steht aus - entdeckt. Sie wurde als kritisch eingestuft. Dies betrifft eine unbekannte Funktion der Komponente Auth Token Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 09.01.2017 durch Lawrence Amer als VL-ID 1683 in Form eines bestätigten Advisories (Website) herausgegeben. Auf vulnerability-lab.com kann das Advisory eingesehen werden. Eine Veröffentlichung wurde in Zusammenarbeit mit BitDefender angestrebt. Umgesetzt werden kann der Angriff über das Netzwerk. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Es dauerte mindestens 310 Tage, bis diese Zero-Day Schwachstelle öffentlich gemacht wurde. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.
Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle. BitDefender hat so vorab gehandelt.
CVSSv3
Base Score: ≈6.3 [?]Temp Score: ≈6.0 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: ≈6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]Temp Score: ≈5.2 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: Erweiterte RechteLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: PatchStatus: Offizieller Fix
Reaction Time: 310 Tage seit gemeldet
0-Day Time: 310 Tage seit gefunden
Timeline
26.01.2016 Hersteller informiert01.12.2016 Gegenmassnahme veröffentlicht
09.01.2017 Advisory veröffentlicht
11.01.2017 VulDB Eintrag erstellt
11.01.2017 VulDB letzte Aktualisierung
Quellen
Advisory: VL-ID 1683Person: Lawrence Amer
Status: Bestätigt
Koordiniert: Ja
Eintrag
Erstellt: 11.01.2017Eintrag: 71.2% komplett
...