VulDB: Google Chrome bis 18.0.1025.168 Race Condition [CVE-2011-3090]
Allgemein
scipID: 5428
Betroffen: Google Chrome bis 18.0.1025.168
Veröffentlicht: 15.05.2012 (Arthur Gerkis)
Risiko: 
problematisch
Eintrag: 83.6% komplett
Erstellt: 25.05.2012
Aktualisiert: 03.09.2012
Beschreibung
In Google Chrome bis 18.0.1025.168, ein Webbrowser, wurde eine problematische Schwachstelle entdeckt. Hiervon betroffen ist eine unbekannte Funktion. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Race Condition-Schwachstelle ausgenutzt werden. Die genauen Auswirkungen eines erfolgreichen Angriffs sind bisher nicht bekannt.
Die Schwachstelle wurde am 15.05.2012 durch Arthur Gerkis als 121223 in Form eines Knowledge Base Articles (Website) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter code.google.com. Die Veröffentlichung wurde in Zusammenarbeit mit dem Hersteller durchgeführt. Eine eindeutige Identifikation der Schwachstelle wird seit dem 09.08.2011 mit CVE-2011-3090 vorgenommen. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 19.0.1084.46 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Google hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (81952) und Secunia (SA49194) dokumentiert.CVSS
Base Score: 4.9 (CVSS2#AV:A/AC:M/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Race Condition
Lokal: Ja
Remote: Nein
Verfügbarkeit: Ja
Zugang: Privat
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Chrome 19.0.1084.46
Timeline
09.08.2011 | CVE zugewiesen
15.05.2012 | Advisory veröffentlicht
15.05.2012 | Gegenmassnahme veröffentlicht
18.05.2012 | OSVDB Eintrag erstellt
25.05.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: 121223
Person: Arthur Gerkis
Koordiniert: Ja
OSVDB: 81952
CVE: CVE-2011-3090 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 49194
- Letzte Einträge
- EMC RSA Authentication API Encryption Key Information Disclosure
- Cisco Secure Access Control System Web Interface schwache Authentisierung
- Python ssl.match_hostname() Denial of Service
- Mozilla Firefox/Thunderbird nsContentUtils::RemoveScriptBlocker Pufferüberlauf
- Mozilla Firefox/Thunderbird nsFrameList::FirstChild Pufferüberlauf
- Statistiken
- Archiv
