1. Startseite

ArabicEnglishFrenchGermanGreekItalianJapaneseKoreanPersianPolishPortugueseRussianSpanishTurkishVietnamese
Anzeige

Webseiten News

News vom: 29.10.2017 um 22:13 Uhr

Hallo liebe TSecurity Gemeinde, heute war TSecurity zu große Teilen Offline. Ich bitte das zu entschuldigen.

Das Problem lag am gitlab-Server welcher nginix VHOST Container überschrieben hatte ohne das ich dies bemerkt habe.

Folge uns auf Twitter um einen Echtzeit-Stream zu erhalten. Updates alle 5 Minuten!


Weitere News Beiträge ansehen: Webseiten News (22)

Startseite und alle Kategorien


Suchen

Bashi v1.6 iOS - Persistent Mail Encoding Vulnerability

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vulnerability-lab.com
The vulnerability laboratory core research team discovered an application-side mail encoding web vulnerability in the official Bashi v1.6 iOS mobile application.

Weiterlesen Artikel ansehen

AVAST (Shop) #18 - Multiple Client Side XSS Vulnerabilities

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vulnerability-lab.com
An independent vulnerability laboratory researcher discovered multiple client-side web vulnerabilities in the official Avast Shop online service web-application.

Weiterlesen Artikel ansehen

Google Chrome bis 51 PDFium Heap-based Pufferüberlauf

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Eine Schwachstelle wurde in Google Chrome bis 51 ausgemacht. Sie wurde als kritisch eingestuft. Hierbei geht es um eine unbekannte Funktion der Komponente PDFium. Dank der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Heap-based) ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) herausgegeben. Auf googlechromereleases.blogspot.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-1681 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.

Ein Aktualisieren auf die Version 51.0.2704.63 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat demzufolge unmittelbar gehandelt.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: 87298, 87299, 87300 und 87301.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1681 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87654, 87655 , 87656

Eintrag

Erstellt: 29.05.2016
Eintrag: 78.3% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 Skia Use-After-Free Pufferüberlauf

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

In Google Chrome bis 51 wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Dabei geht es um eine unbekannte Funktion der Komponente Skia. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Use-After-Free) ausgenutzt werden. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter googlechromereleases.blogspot.com. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-1680 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Ein Upgrade auf die Version 51.0.2704.63 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat folglich unmittelbar reagiert.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Die Einträge 87298, 87299, 87300 und 87301 sind sehr ähnlich.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1680 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87654, 87655 , 87656

Eintrag

Erstellt: 29.05.2016
Eintrag: 78.3% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 Same-Origin Policy erweiterte Rechte

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Es wurde eine kritische Schwachstelle in Google Chrome bis 51 ausgemacht. Dabei betrifft es eine unbekannte Funktion. Dank der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Same-Origin Policy) ausgenutzt werden. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) publik gemacht. Das Advisory kann von googlechromereleases.blogspot.com heruntergeladen werden. Die Verwundbarkeit wird seit dem 12.01.2016 unter CVE-2016-1672 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.

Ein Upgrade auf die Version 51.0.2704.63 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat unmittelbar reagiert.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 87298, 87299, 87300 und 87301.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $10k-$25k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

12.01.2016 CVE zugewiesen
25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1672 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87649, 87650, 87651, 87652, 87653, 87654, 87655, 87656 , 87657

Eintrag

Erstellt: 29.05.2016
Eintrag: 78.3% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 v8 Bindings Use-After-Free Pufferüberlauf

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Es wurde eine Schwachstelle in Google Chrome bis 51 ausgemacht. Sie wurde als kritisch eingestuft. Es geht dabei um eine unbekannte Funktion der Komponente v8 Bindings. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Use-After-Free) ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) publiziert. Das Advisory kann von googlechromereleases.blogspot.com heruntergeladen werden. Die Identifikation der Schwachstelle wird mit CVE-2016-1679 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.

Ein Aktualisieren auf die Version 51.0.2704.63 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat daher unmittelbar gehandelt.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 87298, 87299, 87300 und 87301.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1679 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87654, 87655 , 87656

Eintrag

Erstellt: 29.05.2016
Eintrag: 78.3% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 Same-Origin Policy erweiterte Rechte

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Eine kritische Schwachstelle wurde in Google Chrome bis 51 ausgemacht. Davon betroffen ist eine unbekannte Funktion. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Same-Origin Policy) ausgenutzt werden. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) veröffentlicht. Auf googlechromereleases.blogspot.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet als CVE-2016-1675 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Ein Upgrade auf die Version 51.0.2704.63 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat entsprechend unmittelbar reagiert.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Die Einträge 87298, 87299, 87300 und 87301 sind sehr ähnlich.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $10k-$25k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1675 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87651, 87652, 87653, 87654, 87655, 87656 , 87657

Eintrag

Erstellt: 29.05.2016
Eintrag: 77.8% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 v8 Engine Heap-based Pufferüberlauf

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Eine Schwachstelle wurde in Google Chrome bis 51 gefunden. Sie wurde als kritisch eingestuft. Es geht hierbei um eine unbekannte Funktion der Komponente v8 Engine. Durch Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Heap-based) ausgenutzt werden. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) veröffentlicht. Auf googlechromereleases.blogspot.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet als CVE-2016-1678 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.

Ein Upgrade auf die Version 51.0.2704.63 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat hiermit unmittelbar reagiert.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 87298, 87299, 87300 und 87301.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1678 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87654, 87655 , 87657

Eintrag

Erstellt: 29.05.2016
Eintrag: 78.3% komplett

Weiterlesen Artikel ansehen

phpMyAdmin bis 4.4.15.5/4.6.1 Cross Site Scripting [CVE-2016-5099]

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

In phpMyAdmin bis 4.4.15.5/4.6.1 wurde eine problematische Schwachstelle gefunden. Das betrifft eine unbekannte Funktion. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für die Integrität.

Die Schwachstelle wurde am 25.05.2016 als PMASA-2016-16 in Form eines bestätigten Advisories (Website) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter phpmyadmin.net. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-5099 vorgenommen. Die Ausnutzbarkeit ist als leicht bekannt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Ein Upgrade auf die Version 4.4.15.6 oder 4.6.2 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben folglich unmittelbar reagiert.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035979) dokumentiert. Die Einträge 87645 und 87647 sind sehr ähnlich.

CVSS

Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]
Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $5k-$10k (0-day) / $1k-$2k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: phpMyAdmin 4.4.15.6/4.6.2

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: PMASA-2016-16
Status: Bestätigt

CVE: CVE-2016-5099 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035979 - phpMyAdmin Input Validation Flaw Lets Remote Conduct Cross-Site Scripting Attacks

Siehe auch: 87645 , 87647

Eintrag

Erstellt: 29.05.2016
Eintrag: 75.8% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 v8 Engine Type Confusion Pufferüberlauf

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

In Google Chrome bis 51 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Es geht um eine unbekannte Funktion der Komponente v8 Engine. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Type Confusion) ausgenutzt werden. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter googlechromereleases.blogspot.com. Die Verwundbarkeit wird als CVE-2016-1677 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.

Ein Aktualisieren auf die Version 51.0.2704.63 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat damit unmittelbar gehandelt.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: 87298, 87299, 87300 und 87301.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1677 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87654, 87656 , 87657

Eintrag

Erstellt: 29.05.2016
Eintrag: 78.3% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 libxslt Integer Pufferüberlauf

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

In Google Chrome bis 51 wurde eine kritische Schwachstelle entdeckt. Das betrifft eine unbekannte Funktion der Komponente libxslt. Mit der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Integer) ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter googlechromereleases.blogspot.com. Die Verwundbarkeit wird als CVE-2016-1684 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.

Ein Aktualisieren auf die Version 51.0.2704.63 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat demnach unmittelbar gehandelt.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 87298, 87299, 87300 und 87301.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1684 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87654, 87655 , 87656

Eintrag

Erstellt: 29.05.2016
Eintrag: 78.3% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 ServiceWorker Cross-Origin erweiterte Rechte

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Es wurde eine Schwachstelle in Google Chrome bis 51 gefunden. Sie wurde als kritisch eingestuft. Betroffen hiervon ist eine unbekannte Funktion der Komponente ServiceWorker. Mittels Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Cross-Origin) ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) publik gemacht. Das Advisory kann von googlechromereleases.blogspot.com heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2016-1692 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Ein Upgrade auf die Version 51.0.2704.63 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat also unmittelbar reagiert.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Die Einträge 87298, 87299, 87300 und 87301 sind sehr ähnlich.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $10k-$25k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1692 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87655, 87656 , 87657

Eintrag

Erstellt: 29.05.2016
Eintrag: 78.3% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 Same-Origin Policy erweiterte Rechte

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

In Google Chrome bis 51 wurde eine kritische Schwachstelle ausgemacht. Hierbei betrifft es eine unbekannte Funktion. Dank Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Same-Origin Policy) ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter googlechromereleases.blogspot.com. Die Verwundbarkeit wird als CVE-2016-1673 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.

Ein Aktualisieren auf die Version 51.0.2704.63 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat demnach unmittelbar gehandelt.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 87298, 87299, 87300 und 87301.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $10k-$25k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1673 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87650, 87651, 87652, 87653, 87654, 87655, 87656 , 87657

Eintrag

Erstellt: 29.05.2016
Eintrag: 77.8% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 libxslt Out-of-Bounds Pufferüberlauf

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Es wurde eine kritische Schwachstelle in Google Chrome bis 51 entdeckt. Es betrifft eine unbekannte Funktion der Komponente libxslt. Dank Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Out-of-Bounds) ausgenutzt werden. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) publik gemacht. Das Advisory kann von googlechromereleases.blogspot.com heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2016-1683 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.

Ein Upgrade auf die Version 51.0.2704.63 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat unmittelbar reagiert.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 87298, 87299, 87300 und 87301.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1683 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87654, 87655 , 87656

Eintrag

Erstellt: 29.05.2016
Eintrag: 78.3% komplett

Weiterlesen Artikel ansehen

phpMyAdmin Error Reporting File Information Disclosure

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Eine problematische Schwachstelle wurde in phpMyAdmin - eine genaue Versionsangabe steht aus - gefunden. Dies betrifft eine unbekannte Funktion der Komponente Error Reporting. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (File) ausgenutzt werden. Auswirken tut sich dies auf die Vertraulichkeit.

Die Schwachstelle wurde am 25.05.2016 in Form eines bestätigten Advisories (Website) herausgegeben. Auf phpmyadmin.net kann das Advisory eingesehen werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-5098 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.

Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Dieser kann von github.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben demzufolge unmittelbar gehandelt.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035980) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: 87645 und 87646.

CVSS

Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:P/I:N/A:N) [?]
Temp Score: 3.0 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Information Disclosure
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $5k-$10k (0-day) / $2k-$5k (Heute)

Gegenmassnahmen

Empfehlung: Patch
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Patch: github.com

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: phpmyadmin.net
Status: Bestätigt

CVE: CVE-2016-5098 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035980 - phpMyAdmin Error Reporting Component Flaw Lets Remote Users Determine the Size of Arbitrary Files on the Target System

Siehe auch: 87645 , 87646

Eintrag

Erstellt: 29.05.2016
Eintrag: 75.3% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 Software Removal Tool Downloader schwache Authentisierung

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Es wurde eine Schwachstelle in Google Chrome bis 51 entdeckt. Sie wurde als kritisch eingestuft. Betroffen hiervon ist eine unbekannte Funktion der Komponente Software Removal Tool Downloader. Durch Beeinflussen mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) publiziert. Das Advisory kann von googlechromereleases.blogspot.com heruntergeladen werden. Die Identifikation der Schwachstelle wird mit CVE-2016-1693 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.

Ein Aktualisieren auf die Version 51.0.2704.63 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat daher unmittelbar gehandelt.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 87298, 87299, 87300 und 87301.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Schwache Authentisierung
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $25k-$50k (0-day) / $10k-$25k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1693 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87654, 87655 , 87656

Eintrag

Erstellt: 29.05.2016
Eintrag: 77.8% komplett

Weiterlesen Artikel ansehen

phpMyAdmin bis 4.6.1 url.php Information Disclosure

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Es wurde eine problematische Schwachstelle in phpMyAdmin bis 4.6.1 gefunden. Es betrifft eine unbekannte Funktion der Datei url.php. Durch Manipulieren mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (SQL) ausgenutzt werden. Auswirkungen hat dies auf die Vertraulichkeit.

Die Schwachstelle wurde am 25.05.2016 als PMASA-2016-14 in Form eines bestätigten Advisories (Website) publiziert. Das Advisory kann von phpmyadmin.net heruntergeladen werden. Die Identifikation der Schwachstelle wird mit CVE-2016-5097 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.

Ein Aktualisieren auf die Version 4.6.2 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben daher unmittelbar gehandelt.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035978) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 87646 und 87647.

CVSS

Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N) [?]
Temp Score: 3.7 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Information Disclosure
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $5k-$10k (0-day) / $2k-$5k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: phpMyAdmin 4.6.2

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: PMASA-2016-14
Status: Bestätigt

CVE: CVE-2016-5097 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035978 - phpMyAdmin Flaw Lets Remote Users Obtain Potentially Sensitive SQL Query Parameters from URLs

Siehe auch: 87646 , 87647

Eintrag

Erstellt: 29.05.2016
Eintrag: 76.8% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 Media Pufferüberlauf

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Eine kritische Schwachstelle wurde in Google Chrome bis 51 entdeckt. Dies betrifft eine unbekannte Funktion der Komponente Media. Durch die Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) veröffentlicht. Auf googlechromereleases.blogspot.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet als CVE-2016-1689 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Ein Upgrade auf die Version 51.0.2704.63 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat entsprechend unmittelbar reagiert.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Die Einträge 87298, 87299, 87300 und 87301 sind sehr ähnlich.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1689 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87654, 87655 , 87656

Eintrag

Erstellt: 29.05.2016
Eintrag: 77.8% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 v8 Engine Pufferüberlauf

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Eine kritische Schwachstelle wurde in Google Chrome bis 51 ausgemacht. Betroffen davon ist eine unbekannte Funktion der Komponente v8 Engine. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) veröffentlicht. Auf googlechromereleases.blogspot.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet als CVE-2016-1688 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.

Ein Upgrade auf die Version 51.0.2704.63 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat hiermit unmittelbar reagiert.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 87298, 87299, 87300 und 87301.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1688 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87654, 87655 , 87656

Eintrag

Erstellt: 29.05.2016
Eintrag: 77.8% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 Autofill Use-After-Free Pufferüberlauf

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Es wurde eine kritische Schwachstelle in Google Chrome bis 51 gefunden. Dabei betrifft es eine unbekannte Funktion der Komponente Autofill. Durch Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Use-After-Free) ausgenutzt werden. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) publiziert. Das Advisory kann von googlechromereleases.blogspot.com heruntergeladen werden. Die Identifikation der Schwachstelle wird mit CVE-2016-1690 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.

Ein Aktualisieren auf die Version 51.0.2704.63 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat nachweislich unmittelbar gehandelt.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: 87298, 87299, 87300 und 87301.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1690 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87654, 87655 , 87656

Eintrag

Erstellt: 29.05.2016
Eintrag: 78.3% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 HPKP Cache Handler schwache Authentisierung

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

In Google Chrome bis 51 wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Es geht um eine unbekannte Funktion der Komponente HPKP Cache Handler. Dank der Manipulation mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter googlechromereleases.blogspot.com. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-1694 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Ein Upgrade auf die Version 51.0.2704.63 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat folglich unmittelbar reagiert.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Die Einträge 87298, 87299, 87300 und 87301 sind sehr ähnlich.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Schwache Authentisierung
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $25k-$50k (0-day) / $10k-$25k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1694 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87654, 87655 , 87656

Eintrag

Erstellt: 29.05.2016
Eintrag: 77.8% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 Skia Heap-based Pufferüberlauf

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

In Google Chrome bis 51 wurde eine kritische Schwachstelle gefunden. Hierbei betrifft es eine unbekannte Funktion der Komponente Skia. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Heap-based) ausgenutzt werden. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter googlechromereleases.blogspot.com. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-1691 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.

Ein Upgrade auf die Version 51.0.2704.63 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat offensichtlich unmittelbar reagiert.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 87298, 87299, 87300 und 87301.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1691 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87654, 87655 , 87656

Eintrag

Erstellt: 29.05.2016
Eintrag: 78.3% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 PDFium Out-of-Bounds Pufferüberlauf

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Eine kritische Schwachstelle wurde in Google Chrome bis 51 gefunden. Davon betroffen ist eine unbekannte Funktion der Komponente PDFium. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Out-of-Bounds) ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) herausgegeben. Auf googlechromereleases.blogspot.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-1685 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.

Ein Aktualisieren auf die Version 51.0.2704.63 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat so unmittelbar gehandelt.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 87298, 87299, 87300 und 87301.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1685 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87654, 87655 , 87656

Eintrag

Erstellt: 29.05.2016
Eintrag: 78.3% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 PDFium Out-of-Bounds Pufferüberlauf

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Es wurde eine kritische Schwachstelle in Google Chrome bis 51 ausgemacht. Hiervon betroffen ist eine unbekannte Funktion der Komponente PDFium. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Out-of-Bounds) ausgenutzt werden. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) publik gemacht. Das Advisory kann von googlechromereleases.blogspot.com heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2016-1686 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Ein Upgrade auf die Version 51.0.2704.63 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat also unmittelbar reagiert.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Die Einträge 87298, 87299, 87300 und 87301 sind sehr ähnlich.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1686 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87654, 87655 , 87656

Eintrag

Erstellt: 29.05.2016
Eintrag: 78.3% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 Extensions Information Disclosure

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

In Google Chrome bis 51 wurde eine problematische Schwachstelle ausgemacht. Betroffen ist eine unbekannte Funktion der Komponente Extensions. Durch Manipulieren mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für die Vertraulichkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter googlechromereleases.blogspot.com. Die Verwundbarkeit wird als CVE-2016-1687 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.

Ein Aktualisieren auf die Version 51.0.2704.63 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat damit unmittelbar gehandelt.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: 87298, 87299, 87300 und 87301.

CVSS

Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N) [?]
Temp Score: 3.7 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Information Disclosure
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $25k-$50k (0-day) / $5k-$10k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1687 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87654, 87655 , 87656

Eintrag

Erstellt: 29.05.2016
Eintrag: 77.8% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 unbekannte Schwachstelle [CVE-2016-1695]

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Eine Schwachstelle wurde in Google Chrome bis 51 entdeckt. Sie wurde als kritisch eingestuft. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) herausgegeben. Auf googlechromereleases.blogspot.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-1695 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.

Ein Aktualisieren auf die Version 51.0.2704.63 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat demzufolge unmittelbar gehandelt.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: 87298, 87299, 87300 und 87301.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1695 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87653, 87654, 87655 , 87656

Eintrag

Erstellt: 29.05.2016
Eintrag: 76.8% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 Extensions Same-Origin Policy erweiterte Rechte

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Es wurde eine Schwachstelle in Google Chrome bis 51 entdeckt. Sie wurde als kritisch eingestuft. Hiervon betroffen ist eine unbekannte Funktion der Komponente Extensions. Durch die Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Same-Origin Policy) ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) publiziert. Das Advisory kann von googlechromereleases.blogspot.com heruntergeladen werden. Die Identifikation der Schwachstelle wird mit CVE-2016-1674 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.

Ein Aktualisieren auf die Version 51.0.2704.63 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat nachweislich unmittelbar gehandelt.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: 87298, 87299, 87300 und 87301.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $10k-$25k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1674 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87652, 87653, 87654, 87655, 87656 , 87657

Eintrag

Erstellt: 29.05.2016
Eintrag: 78.3% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 ServiceWorker Content Security Policy erweiterte Rechte

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

Eine Schwachstelle wurde in Google Chrome bis 51 entdeckt. Sie wurde als kritisch eingestuft. Betroffen davon ist eine unbekannte Funktion der Komponente ServiceWorker. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Content Security Policy) ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) herausgegeben. Auf googlechromereleases.blogspot.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 12.01.2016 mit der eindeutigen Identifikation CVE-2016-1682 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.

Ein Aktualisieren auf die Version 51.0.2704.63 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat so unmittelbar gehandelt.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 87298, 87299, 87300 und 87301.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $10k-$25k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

12.01.2016 CVE zugewiesen
25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1682 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87652, 87654, 87655, 87656 , 87657

Eintrag

Erstellt: 29.05.2016
Eintrag: 78.8% komplett

Weiterlesen Artikel ansehen

Google Chrome bis 51 Extension Binding Same-Origin Policy erweiterte Rechte

Exploits vom 25.05.2016 um 02:00 Uhr | Quelle vuldb.com

In Google Chrome bis 51 wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Betroffen ist eine unbekannte Funktion der Komponente Extension Binding. Durch Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Same-Origin Policy) ausgenutzt werden. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 25.05.2016 als Stable Channel Update, May 2016 in Form eines bestätigten Release Notess (Website) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter googlechromereleases.blogspot.com. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-1676 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.

Ein Upgrade auf die Version 51.0.2704.63 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat offensichtlich unmittelbar reagiert.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035981) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 87298, 87299, 87300 und 87301.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $50k-$100k (0-day) / $10k-$25k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 51.0.2704.63

Timeline

25.05.2016 Advisory veröffentlicht
25.05.2016 Gegenmassnahme veröffentlicht
27.05.2016 SecurityTracker Eintrag erstellt
28.05.2016 VulDB Eintrag erstellt
29.05.2016 VulDB Eintrag aktualisiert

Quellen

Advisory: Stable Channel Update, May 2016
Status: Bestätigt

CVE: CVE-2016-1676 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035981 - Google Chrome Multiple Flaws Lets Remote Users Bypass Same-Origin Restrictions, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 87298, 87299, 87300, 87301, 87302, 87648, 87649, 87650, 87651, 87653, 87654, 87655, 87656 , 87657

Eintrag

Erstellt: 29.05.2016
Eintrag: 78.3% komplett

Weiterlesen Artikel ansehen

Oracle ATS Arbitrary File Upload

PoC vom 25.05.2016 um 01:33 Uhr | Quelle packetstormsecurity.com
This Metasploit module exploits an authentication bypass and arbitrary file upload in Oracle Application Testing Suite (OATS), version 12.4.0.2.0 and unknown earlier versions, to upload and execute a JSP shell.

Weiterlesen Artikel ansehen

AVAST (Shop) #18 - Multiple Client Side XSS Vulnerabilities

Exploits vom 25.05.2016 um 00:00 Uhr | Quelle vulnerability-lab.com
No abstract description available in the upcomings!

Weiterlesen Artikel ansehen

Bashi v1.6 iOS - Persistent Mail Encoding Vulnerability

Exploits vom 25.05.2016 um 00:00 Uhr | Quelle vulnerability-lab.com
No abstract description available in the upcomings!

Weiterlesen Artikel ansehen

Overwatch: Blizzard veröffentlicht seinen ersten Shooter

IT Security Nachrichten vom 24.05.2016 um 23:44 Uhr | Quelle winfuture.de
Ego-Shooter, Shooter, Online-Spiele, Blizzard, Zoomin, Online-Shooter, Overwatch Endlich ist es soweit: Seit dem 24. Mai ist Overwatch für den PC, die PlayStation 4 und die Xbox One erhältlich. Mit dem Spiel veröffentlicht das World-of-Warcraft-Studio Blizzard erstmals einen Shooter. (Weiter lesen)

Weiterlesen Artikel ansehen

Crypto Innovator, Entrepreneur Jon Callas Rejoins Apple

IT Security Nachrichten vom 24.05.2016 um 23:41 Uhr | Quelle threatpost.com
Apple has hired cryptography pioneer Jon Callas for a third time. Callas, who previously at Apple helped design and implement encryption systems for Macs, was most recently at Silent Circle.

Weiterlesen Artikel ansehen

Cryorig Ola & Taku: „Lifestyle“-Gehäuse als Zylinder und Monitorständer

Nachrichten vom 24.05.2016 um 23:23 Uhr | Quelle computerbase.de

Nach Prozessorkühlern möchte Cryorig künftig auch „Lifestyle ITX-PC-Gehäuse“ anbieten. Die ersten zwei Prototypen will das Unternehmen auf der Computex ausstellen. Während das zylindrische Ola vom Design eines Mac Pro inspiriert wurde, handelt es sich beim Taku um einen „Monitorständer“.


Weiterlesen Artikel ansehen

Seitennavigation

Seite 5209 von 6.623 Seiten (Bei Beitrag 182280 - 182315)
231.804x Beiträge in dieser Kategorie

Auf Seite 5208 zurück | Nächste 5210 Seite | Letzte Seite

Folge uns auf Twitter um einen Echtzeit-Stream zu erhalten. Updates alle 5 Minuten!

Die Webseite benutzt einen Cache von 10-15 Minuten