📚 Google Android Touchscreen Driver Application erweiterte Rechte
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In Google Android - die betroffene Version ist nicht bekannt - wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Das betrifft eine unbekannte Funktion der Komponente Touchscreen Driver. Mit der Manipulation durch Application kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-269. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 12.05.2017 öffentlich gemacht. Bereitgestellt wird das Advisory unter source.android.com. Die Verwundbarkeit wird seit dem 29.11.2016 als CVE-2017-0622 geführt. Der Angriff muss lokal angegangen werden. Das Ausnutzen erfordert eine einfache Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $5k-$25k gehandelt werden wird (Preisberechnung vom 05/13/2017). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft steigend verhalten werden.
Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen.
Von weiterem Interesse können die folgenden Einträge sein: 100815, 101104, 101105 und 101106.
CVSSv3
VulDB Base Score: 7.8VulDB Temp Score: 7.5
VulDB Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:X/RL:O/RC:X
VulDB Zuverlässigkeit: High
CVSSv2
VulDB Base Score: 6.6 (CVSS2#AV:L/AC:M/Au:S/C:C/I:C/A:C)VulDB Temp Score: 5.7 (CVSS2#E:ND/RL:OF/RC:ND)
VulDB Zuverlässigkeit: High
CPE
Exploiting
Klasse: Erweiterte Rechte (CWE-269)Lokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: PatchStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Timeline
29.11.2016 CVE zugewiesen12.05.2017 Advisory veröffentlicht
13.05.2017 VulDB Eintrag erstellt
13.05.2017 VulDB letzte Aktualisierung
Quellen
Advisory: source.android.comCVE: CVE-2017-0622 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 100815, 101104, 101105, 101106, 101107, 101108, 101109, 101110, 101111, 101112, 101113, 101114, 101115, 101116
Eintrag
Erstellt: 13.05.2017Aktualisierung: 13.05.2017
Eintrag: 70.8% komplett
...