VulDB: Google Chrome bis 19.0.1084.57 auf Mac User Interface Pufferüberlauf
Allgemein
scipID: 5601
Betroffen: Google Chrome bis 19.0.1084.57
Veröffentlicht: 26.06.2012 (Dharani Govindan)
Risiko: 
kritisch
Eintrag: 91.2% komplett
Erstellt: 27.06.2012
Aktualisiert: 03.09.2012
Beschreibung
Es wurde eine kritische Schwachstelle in Google Chrome bis 19.0.1084.57 (Mac), ein Webbrowser, gefunden. Das betrifft eine unbekannte Funktion der Komponente User Interface. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 26.06.2012 durch Dharani Govindan von Chromium Development Community als 129826 publiziert. Das Advisory kann von code.google.com heruntergeladen werden. Die Herausgabe passierte in Zusammenarbeit mit Google. Die Identifikation der Schwachstelle wird seit dem 19.05.2012 mit CVE-2012-2827 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Ein Aktualisieren auf die Version 20.0.1132.43 vermag dieses Problem zu lösen. Eine neue Version kann von google.com bezogen werden. Das Problem kann auch durch den Einsatz von Mozilla Firefox, Microsoft Internet Explorer, Opera als alternatives Produkt mitigiert werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Google hat demnach sofort reagiert. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (83239) dokumentiert. Heise diskutiert den Sachverhalt in deutscher Sprache.CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Chrome 20.0.1132.43
Alternative: Mozilla Firefox, Microsoft Internet Explorer, Opera
Timeline
19.05.2012 | CVE zugewiesen
26.06.2012 | Hersteller bestätigt
26.06.2012 | Advisory veröffentlicht
26.06.2012 | Gegenmassnahme veröffentlicht
27.06.2012 | OSVDB Eintrag erstellt
27.06.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: 129826
Person: Dharani Govindan
Firma: Chromium Development Community
Koordiniert: Ja
OSVDB: 83239
CVE: CVE-2012-2827 (mitre.org) (nist.org) (cvedetails.com)
Heise: 1626827
Diverses: googlechromereleases.blogspot.de
- Letzte Einträge
- EMC RSA Authentication API Encryption Key Information Disclosure
- Cisco Secure Access Control System Web Interface schwache Authentisierung
- Python ssl.match_hostname() Denial of Service
- Mozilla Firefox/Thunderbird nsContentUtils::RemoveScriptBlocker Pufferüberlauf
- Mozilla Firefox/Thunderbird nsFrameList::FirstChild Pufferüberlauf
- Statistiken
- Archiv
