VulDB: Google Chrome 19.0.1084.52 Pufferüberlauf [CVE-2011-3106]
Allgemein
scipID: 5459
Betroffen: Google Chrome 19.0.1084.52
Veröffentlicht: 24.05.2012 (Dharani Govindan)
Risiko: 
problematisch
Eintrag: 90.3% komplett
Erstellt: 30.05.2012
Aktualisiert: 03.09.2012
Beschreibung
Eine problematische Schwachstelle wurde in Google Chrome 19.0.1084.52, ein Webbrowser, gefunden. Davon betroffen ist eine unbekannte Funktion. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit kann man Programmcode ausführen. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 24.05.2012 durch Dharani Govindan von Chromium development community als 122654 in Form eines Knowledge Base Articles (Website) herausgegeben. Auf code.google.com kann das Advisory eingesehen werden. Eine Veröffentlichung wurde in Zusammenarbeit mit Google angestrebt. Die Verwundbarkeit wird seit dem 09.08.2011 mit der eindeutigen Identifikation CVE-2011-3106 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.
Ein Aktualisieren auf die Version 19.0.1084.52 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle. Google hat demnach vorgängig reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (82251) und Secunia (SA49277) dokumentiert.CVSS
Base Score: 9.3 (CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: Privat
Gegenmassnahmen
Empfehlung: Upgrade
0-Day Time: 0 Tage seit gefunden
Upgrade: Chrome 19.0.1084.52
Timeline
09.08.2011 | CVE zugewiesen
23.05.2012 | Gegenmassnahme veröffentlicht
24.05.2012 | Advisory veröffentlicht
25.05.2012 | OSVDB Eintrag erstellt
30.05.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: 122654
Person: Dharani Govindan
Firma: Chromium development community
Koordiniert: Ja
OSVDB: 82251
CVE: CVE-2011-3106 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 49277
- Letzte Einträge
- EMC RSA Authentication API Encryption Key Information Disclosure
- Cisco Secure Access Control System Web Interface schwache Authentisierung
- Python ssl.match_hostname() Denial of Service
- Mozilla Firefox/Thunderbird nsContentUtils::RemoveScriptBlocker Pufferüberlauf
- Mozilla Firefox/Thunderbird nsFrameList::FirstChild Pufferüberlauf
- Statistiken
- Archiv
