📚 Google Android HTC Bootloader Application erweiterte Rechte
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine Schwachstelle wurde in Google Android - die betroffene Version ist nicht genau spezifiziert - gefunden. Sie wurde als kritisch eingestuft. Dies betrifft eine unbekannte Funktion der Komponente HTC Bootloader. Durch die Manipulation durch Application kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-269. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 12.05.2017 veröffentlicht. Auf source.android.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 29.11.2016 als CVE-2017-0623 statt. Der Angriff muss lokal passieren. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $5k-$25k kostet (Preisberechnung vom 05/13/2017). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft steigend verhalten werden.
Die Schwachstelle lässt sich durch das Einspielen eines Patches beheben.
Schwachstellen ähnlicher Art sind dokumentiert unter 100815, 101104, 101105 und 101106.
CVSSv3
VulDB Base Score: 7.8VulDB Temp Score: 7.5
VulDB Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:X/RL:O/RC:X
VulDB Zuverlässigkeit: High
CVSSv2
VulDB Base Score: 6.6 (CVSS2#AV:L/AC:M/Au:S/C:C/I:C/A:C)VulDB Temp Score: 5.7 (CVSS2#E:ND/RL:OF/RC:ND)
VulDB Zuverlässigkeit: High
CPE
Exploiting
Klasse: Erweiterte Rechte (CWE-269)Lokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: PatchStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Timeline
29.11.2016 CVE zugewiesen12.05.2017 Advisory veröffentlicht
13.05.2017 VulDB Eintrag erstellt
13.05.2017 VulDB letzte Aktualisierung
Quellen
Advisory: source.android.comCVE: CVE-2017-0623 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 100815, 101104, 101105, 101106, 101107, 101108, 101109, 101110, 101111, 101112, 101113, 101114, 101115, 101116
Eintrag
Erstellt: 13.05.2017Aktualisierung: 13.05.2017
Eintrag: 70.8% komplett
...