📚 Google Chrome bis 49 Blink ImageInputType.cpp ensurePrimaryContent Pufferüberlauf
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 81355
Betroffen: Google Chrome bis 49
Veröffentlicht: 13.03.2016
Risiko: kritisch
Erstellt: 14.03.2016
Eintrag: 72.8% komplett
Beschreibung
In Google Chrome bis 49 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Es geht um die Funktion ImageInputType::ensurePrimaryContent
der Datei WebKit/Source/core/html/forms/ImageInputType.cpp der Komponente Blink. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 13.03.2016 öffentlich gemacht. Die Verwundbarkeit wird als CVE-2016-1643 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Ein Aktualisieren auf die Version 49.0.2623.87 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 84224) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: 81356 und 81357.CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Chrome 49.0.2623.87
Timeline
08.03.2016 | VulnerabilityCenter Eintrag zugewiesen
09.03.2016 | VulnerabilityCenter Eintrag erstellt
13.03.2016 | Advisory veröffentlicht
13.03.2016 | VulnerabilityCenter Eintrag aktualisiert
14.03.2016 | VulDB Eintrag erstellt
14.03.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-1643 (mitre.org) (nvd.nist.org) (cvedetails.com)
SecurityFocus: 84224
Vulnerability Center: 57115 – Google Chrome before 49.0.2623.87 Remote Unspecified Vulnerability Related to Type Confusion in Blink, Critical