1. Reverse Engineering >
  2. Exploits >
  3. Adobe Flash Player bis 26.0.0.13 Pufferüberlauf [CVE-2017-3099]


ArabicEnglishFrenchGermanGreekItalianJapaneseKoreanPersianPolishPortugueseRussianSpanishTurkishVietnamese

Adobe Flash Player bis 26.0.0.13 Pufferüberlauf [CVE-2017-3099]

RSS Kategorie Pfeil Exploits vom | Quelle: vuldb.com Direktlink öffnen

In Adobe Flash Player bis 26.0.0.13 wurde eine kritische Schwachstelle ausgemacht. Betroffen ist eine unbekannte Funktion. Durch Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-119. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 11.07.2017 durch bo13oy als APSB17-21 in Form eines bestätigten Security Bulletins (Website) via ZDI (Zero Day Initiative) öffentlich gemacht. Bereitgestellt wird das Advisory unter helpx.adobe.com. Die Veröffentlichung passierte hierbei in Koordination mit Adobe. Die Verwundbarkeit wird als CVE-2017-3099 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $5k-$25k gehandelt werden wird (Preisberechnung vom 07/13/2017). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft fallend verhalten werden.

Ein Aktualisieren auf die Version 26.0.0.137 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Adobe hat damit sofort gehandelt.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1038845) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: 103508 und 103509.

CVSSv3

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C
VulDB Zuverlässigkeit: High

CVSSv2

VulDB Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P)
VulDB Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C)
VulDB Zuverlässigkeit: High

CPE

Exploiting

Klasse: Pufferüberlauf (CWE-119)
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Flash Player 26.0.0.137

Timeline

11.07.2017 Advisory veröffentlicht
11.07.2017 Gegenmassnahme veröffentlicht
11.07.2017 SecurityTracker Eintrag erstellt
13.07.2017 VulDB Eintrag erstellt
13.07.2017 VulDB letzte Aktualisierung

Quellen

Advisory: APSB17-21
Person: bo13oy
Status: Bestätigt
Koordiniert: Ja

CVE: CVE-2017-3099 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1038845 - Adobe Flash Player Bugs Let Remote Users Obtain Potentially Sensitive Information and Execute Arbitrary Code

Siehe auch: 103508, 103509

Eintrag

Erstellt: 13.07.2017
Eintrag: 75.2% komplett
...

Webseite öffnen Komplette Webseite öffnen

Newsbewertung

Kommentiere zu Adobe Flash Player bis 26.0.0.13 Pufferüberlauf [CVE-2017-3099]






Ähnliche Beiträge

  • 1. USN-3415-1: tcpdump vulnerabilities vom 1009.76 Punkte ic_school_black_18dp
    Ubuntu Security Notice USN-3415-1 13th September, 2017 tcpdump vulnerabilities A security issue affects these releases of Ubuntu and its derivatives: Ubuntu 17.04 Ubuntu 16.04 LTS Ubuntu 14.04 LTS Summary Several security issues were fixed
  • 2. USN-3415-2: tcpdump vulnerabilities vom 1009.76 Punkte ic_school_black_18dp
    Ubuntu Security Notice USN-3415-2 13th September, 2017 tcpdump vulnerabilities A security issue affects these releases of Ubuntu and its derivatives: Ubuntu 12.04 LTS Summary Several security issues were fixed in tcpdump Software description tcpdump
  • 3. USN-3361-1: Linux kernel (HWE) vulnerabilities vom 410.66 Punkte ic_school_black_18dp
    Ubuntu Security Notice USN-3361-1 21st July, 2017 linux-hwe vulnerabilities A security issue affects these releases of Ubuntu and its derivatives: Ubuntu 16.04 LTS Summary Several security issues were fixed in the Linux kernel. Software descriptio
  • 4. USN-3260-1: Firefox vulnerabilities vom 404.55 Punkte ic_school_black_18dp
    Ubuntu Security Notice USN-3260-1 21st April, 2017 firefox vulnerabilities A security issue affects these releases of Ubuntu and its derivatives: Ubuntu 17.04 Ubuntu 16.10 Ubuntu 16.04 LTS Ubuntu 14.04 LTS Summary Firefox could be made to c
  • 5. USN-3278-1: Thunderbird vulnerabilities vom 370.93 Punkte ic_school_black_18dp
    Ubuntu Security Notice USN-3278-1 16th May, 2017 thunderbird vulnerabilities A security issue affects these releases of Ubuntu and its derivatives: Ubuntu 17.04 Ubuntu 16.10 Ubuntu 16.04 LTS Ubuntu 14.04 LTS Summary Several securi
  • 6. USN-3131-1: ImageMagick vulnerabilities vom 355.65 Punkte ic_school_black_18dp
    Ubuntu Security Notice USN-3131-1 21st November, 2016 imagemagick vulnerabilities A security issue affects these releases of Ubuntu and its derivatives: Ubuntu 16.10 Ubuntu 16.04 LTS Ubuntu 14.04 LTS Ubuntu 12.04 LTS Summary Several secu
  • 7. USN-3261-1: QEMU vulnerabilities vom 321.12 Punkte ic_school_black_18dp
    Ubuntu Security Notice USN-3261-1 20th April, 2017 qemu vulnerabilities A security issue affects these releases of Ubuntu and its derivatives: Ubuntu 16.10 Ubuntu 16.04 LTS Ubuntu 14.04 LTS Summary Several security issues were fixed in
  • 8. Adobe Flash Player bis 26.0.0.13 Pufferüberlauf [CVE-2017-3099] vom 290.71 Punkte ic_school_black_18dp
    In Adobe Flash Player bis 26.0.0.13 wurde eine kritische Schwachstelle ausgemacht. Betroffen ist eine unbekannte Funktion. Durch Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. CWE definiert das Pro
  • 9. USN-3619-1: Linux kernel vulnerabilities vom 282.79 Punkte ic_school_black_18dp
    linux, linux-aws, linux-kvm, linux-raspi2, linux-snapdragon vulnerabilities A security issue affects these releases of Ubuntu and its derivatives: Ubuntu 16.04 LTS Summary Several security issues were fixed in the Linux kernel. Software Description li
  • 10. USN-3583-1: Linux kernel vulnerabilities vom 281.53 Punkte ic_school_black_18dp
    Ubuntu Security Notice USN-3583-1 23rd February, 2018 linux vulnerabilities A security issue affects these releases of Ubuntu and its derivatives: Ubuntu 14.04 LTS Summary Several security issues were fixed in the Linux kernel. Software descriptio
  • 11. USN-3391-1: Firefox vulnerabilities vom 281.27 Punkte ic_school_black_18dp
    Ubuntu Security Notice USN-3391-1 15th August, 2017 firefox vulnerabilities A security issue affects these releases of Ubuntu and its derivatives: Ubuntu 17.04 Ubuntu 16.04 LTS Ubuntu 14.04 LTS Summary Firefox could be made to crash or
  • 12. USN-3216-1: Firefox vulnerabilities vom 279.11 Punkte ic_school_black_18dp
    Ubuntu Security Notice USN-3216-1 7th March, 2017 firefox vulnerabilities A security issue affects these releases of Ubuntu and its derivatives: Ubuntu 16.10 Ubuntu 16.04 LTS Ubuntu 14.04 LTS Ubuntu 12.04 LTS Summary Firefox could