VulDB: Opera Browser bis 11.62 User Input Sanitizer Pufferüberlauf
Allgemein
scipID: 5387
Betroffen: Opera Browser bis 11.62
Veröffentlicht: 10.05.2012 (Andrey Stroganov)
Risiko: 
problematisch
Eintrag: 87% komplett
Erstellt: 15.05.2012
Aktualisiert: 06.06.2012
Beschreibung
Eine problematische Schwachstelle wurde in Opera Browser bis 11.62, ein Webbrowser, gefunden. Davon betroffen ist eine unbekannte Funktion der Komponente User Input Sanitizer. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit kann man Programmcode ausführen. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 10.05.2012 durch Andrey Stroganov in Form eines Knowledge Base Articles (Website) herausgegeben. Auf opera.com kann das Advisory eingesehen werden. Eine Veröffentlichung wurde nicht in Zusammenarbeit mit Opera angestrebt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.
Ein Aktualisieren auf die Version 11.64 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Opera hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (81809) und Secunia (SA49081) dokumentiert.CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: Privat
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Browser 11.64
Timeline
10.05.2012 | Advisory veröffentlicht
10.05.2012 | Gegenmassnahme veröffentlicht
11.05.2012 | OSVDB Eintrag erstellt
15.05.2012 | VulDB Eintrag erstellt
06.06.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: opera.com
Person: Andrey Stroganov
- Letzte Einträge
- EMC RSA Authentication API Encryption Key Information Disclosure
- Cisco Secure Access Control System Web Interface schwache Authentisierung
- Python ssl.match_hostname() Denial of Service
- Mozilla Firefox/Thunderbird nsContentUtils::RemoveScriptBlocker Pufferüberlauf
- Mozilla Firefox/Thunderbird nsFrameList::FirstChild Pufferüberlauf
- Statistiken
- Archiv
