VulDB: Google Chrome bis 19.0.1084.51 PDF Functionality Pufferüberlauf
Allgemein
scipID: 5453
Betroffen: Google Chrome bis 19.0.1084.51
Veröffentlicht: 23.05.2012 (Gynvael Coldwind & Mateusz Jurczyk)
Risiko: 
kritisch
Eintrag: 91.2% komplett
Erstellt: 30.05.2012
Aktualisiert: 03.09.2012
Beschreibung
Eine kritische Schwachstelle wurde in Google Chrome bis 19.0.1084.51, ein Webbrowser, ausgemacht. Betroffen ist eine unbekannte Funktion der Komponente PDF Functionality. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit kann man Programmcode ausführen. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 23.05.2012 durch Gynvael Coldwind & Mateusz Jurczyk von Google Security Team als 126337 in Form eines Knowledge Base Articles (Website) herausgegeben. Auf code.google.com kann das Advisory eingesehen werden. Eine Veröffentlichung wurde in Zusammenarbeit mit Google angestrebt. Die Verwundbarkeit wird seit dem 09.08.2011 mit der eindeutigen Identifikation CVE-2011-3110 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.
Ein Aktualisieren auf die Version 19.0.1084.52 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat demnach unmittelbar reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (82245) und Secunia (SA49277) dokumentiert.CVSS
Base Score: 9.3 (CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: Privat
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Chrome 19.0.1084.52
Timeline
09.08.2011 | CVE zugewiesen
23.05.2012 | Advisory veröffentlicht
23.05.2012 | Gegenmassnahme veröffentlicht
25.05.2012 | OSVDB Eintrag erstellt
30.05.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: 126337
Person: Gynvael Coldwind & Mateusz Jurczyk
Firma: Google Security Team
Koordiniert: Ja
OSVDB: 82245
CVE: CVE-2011-3110 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 49277
