VulDB: Google Chrome bis 18.0.1025.168 Datei Pufferüberlauf
Allgemein
scipID: 5432
Betroffen: Google Chrome bis 18.0.1025.168
Veröffentlicht: 15.05.2012 (Matthew Jurczyk & Gynvael Coldwind)
Risiko: 
problematisch
Eintrag: 86.8% komplett
Erstellt: 25.05.2012
Aktualisiert: 03.09.2012
Beschreibung
Eine Schwachstelle wurde in Google Chrome bis 18.0.1025.168, ein Webbrowser, gefunden. Sie wurde als problematisch eingestuft. Dies betrifft eine unbekannte Funktion. Durch das Manipulieren durch Datei kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit lässt sich Programmcode ausführen. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 15.05.2012 durch Matthew Jurczyk & Gynvael Coldwind von Google Security Team in Form eines Knowledge Base Articles (Website) veröffentlicht. Die Herausgabe geschah hierbei in Zusammenarbeit mit dem Hersteller. Die Identifikation der Schwachstelle findet seit dem 09.08.2011 als CVE-2011-3099 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 19.0.1084.46 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Google hat so sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (81961) und Secunia (SA49194) dokumentiert.CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
CPE
- cpe:/a:google:chrome:18.0.1025.168
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: Privat
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Chrome 19.0.1084.46
Timeline
09.08.2011 | CVE zugewiesen
15.05.2012 | Advisory veröffentlicht
15.05.2012 | Gegenmassnahme veröffentlicht
18.05.2012 | OSVDB Eintrag erstellt
25.05.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Person: Matthew Jurczyk & Gynvael Coldwind
Firma: Google Security Team
Koordiniert: Ja
OSVDB: 81961
CVE: CVE-2011-3099 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 49194
