Lädt...

🕵️ Google Chrome bis 56 WebM Video Uninitialized Memory unbekannte Schwachstelle


Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com

In Google Chrome bis 56 wurde eine kritische Schwachstelle entdeckt. Hierbei betrifft es eine unbekannte Funktion der Komponente WebM Video Handler. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.01.2017 als Stable Channel Update for Desktop, January 2017 in Form eines bestätigten Release Notess (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter chromereleases.googleblog.com. Die Verwundbarkeit wird als CVE-2017-5017 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Ein Exploit zur Schwachstelle wird momentan etwa USD $5k-$25k kosten (Preisberechnung vom 01/27/2017). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft steigend verhalten werden.

Ein Aktualisieren auf die Version 56.0.2924.76 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat demnach unmittelbar gehandelt.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1037718) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 96042, 96043, 96044 und 96045.

CVSSv3

Base Score: 6.3
Temp Score: 6.0
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C
Zuverlässigkeit: High

CVSSv2

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P)
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C)
Zuverlässigkeit: High

CPE

Exploiting

Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 56.0.2924.76

Timeline

25.01.2017 Advisory veröffentlicht
25.01.2017 Gegenmassnahme veröffentlicht
26.01.2017 SecurityTracker Eintrag erstellt
27.01.2017 VulDB Eintrag erstellt
27.01.2017 VulDB letzte Aktualisierung

Quellen

Advisory: Stable Channel Update for Desktop, January 2017
Status: Bestätigt

CVE: CVE-2017-5017 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1037718 - Google Chrome Multiple Flaws Let Remote Users Access Files, Obtain Potentially Sensitive Information, Bypass Security, Spoof the User Interface, Conduct Cross-Site Scripting Attacks, and Execute Arbitrary Code

Siehe auch: 96042, 96043, 96044, 96045, 96046, 96047, 96048, 96050, 96051, 96052, 96053, 96054, 96055, 96056

Eintrag

Erstellt: 27.01.2017
Eintrag: 75.2% komplett
...

matomo