🕵️ Google Chrome bis 56 WebM Video Uninitialized Memory unbekannte Schwachstelle
Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com
In Google Chrome bis 56 wurde eine kritische Schwachstelle entdeckt. Hierbei betrifft es eine unbekannte Funktion der Komponente WebM Video Handler. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 25.01.2017 als Stable Channel Update for Desktop, January 2017 in Form eines bestätigten Release Notess (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter chromereleases.googleblog.com. Die Verwundbarkeit wird als CVE-2017-5017 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Ein Exploit zur Schwachstelle wird momentan etwa USD $5k-$25k kosten (Preisberechnung vom 01/27/2017). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft steigend verhalten werden.
Ein Aktualisieren auf die Version 56.0.2924.76 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat demnach unmittelbar gehandelt.
Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1037718) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 96042, 96043, 96044 und 96045.
CVSSv3
Base Score: 6.3Temp Score: 6.0
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C
Zuverlässigkeit: High
CVSSv2
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P)Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C)
Zuverlässigkeit: High
CPE
Exploiting
Lokal: NeinRemote: Ja
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Chrome 56.0.2924.76
Timeline
25.01.2017 Advisory veröffentlicht25.01.2017 Gegenmassnahme veröffentlicht
26.01.2017 SecurityTracker Eintrag erstellt
27.01.2017 VulDB Eintrag erstellt
27.01.2017 VulDB letzte Aktualisierung
Quellen
Advisory: Stable Channel Update for Desktop, January 2017Status: Bestätigt
CVE: CVE-2017-5017 (mitre.org) (nvd.nist.org) (cvedetails.com)
SecurityTracker: 1037718 - Google Chrome Multiple Flaws Let Remote Users Access Files, Obtain Potentially Sensitive Information, Bypass Security, Spoof the User Interface, Conduct Cross-Site Scripting Attacks, and Execute Arbitrary Code
Siehe auch: 96042, 96043, 96044, 96045, 96046, 96047, 96048, 96050, 96051, 96052, 96053, 96054, 96055, 96056
Eintrag
Erstellt: 27.01.2017Eintrag: 75.2% komplett
...