VulDB: Google Chrome bis 19.0.1084.51 Eingabe Pufferüberlauf
Allgemein
scipID: 5457
Betroffen: Google Chrome bis 19.0.1084.51
Veröffentlicht: 23.05.2012 (scarybeasts)
Risiko: 
problematisch
Eintrag: 91.2% komplett
Erstellt: 30.05.2012
Aktualisiert: 03.09.2012
Beschreibung
Es wurde eine problematische Schwachstelle in Google Chrome bis 19.0.1084.51, ein Webbrowser, gefunden. Das betrifft eine unbekannte Funktion. Durch das Manipulieren durch Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Hiermit kann man Programmcode ausführen. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 23.05.2012 durch scarybeasts von Google Chrome Security Team als 128014 in Form eines Knowledge Base Articles (Website) publiziert. Das Advisory kann von code.google.com heruntergeladen werden. Die Herausgabe passierte in Zusammenarbeit mit Google. Die Identifikation der Schwachstelle wird seit dem 09.08.2011 mit CVE-2011-3114 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.
Ein Aktualisieren auf die Version 19.0.1084.52 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat demnach unmittelbar reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (82249) und Secunia (SA49277) dokumentiert.CVSS
Base Score: 9.3 (CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: Privat
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Chrome 19.0.1084.52
Timeline
09.08.2011 | CVE zugewiesen
23.05.2012 | Advisory veröffentlicht
23.05.2012 | Gegenmassnahme veröffentlicht
25.05.2012 | OSVDB Eintrag erstellt
30.05.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: 128014
Person: scarybeasts
Firma: Google Chrome Security Team
Koordiniert: Ja
OSVDB: 82249
CVE: CVE-2011-3114 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 49277
- Letzte Einträge
- EMC RSA Authentication API Encryption Key Information Disclosure
- Cisco Secure Access Control System Web Interface schwache Authentisierung
- Python ssl.match_hostname() Denial of Service
- Mozilla Firefox/Thunderbird nsContentUtils::RemoveScriptBlocker Pufferüberlauf
- Mozilla Firefox/Thunderbird nsFrameList::FirstChild Pufferüberlauf
- Statistiken
- Archiv
