VulDB: Google Chrome bis 19.0.1084.57 auf Windows Metro DLL Handler metro.dll unbekannte Schwachstelle
Allgemein
scipID: 5605
Betroffen: Google Chrome bis 19.0.1084.57
Veröffentlicht: 26.06.2012 (Moshe Zioni)
Risiko: 
problematisch
Eintrag: 97.1% komplett
Erstellt: 27.06.2012
Aktualisiert: 21.12.2012
Beschreibung
In Google Chrome bis 19.0.1084.57 (Windows), ein Webbrowser, wurde eine problematische Schwachstelle ausgemacht. Betroffen ist eine unbekannte Funktion in der Bibliothek metro.dll der Komponente Metro DLL Handler. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 26.06.2012 durch Moshe Zioni von Comsec Consulting als 130276 öffentlich gemacht. Bereitgestellt wird das Advisory unter code.google.com. Die Veröffentlichung passierte hierbei in Koordination mit Google. Die Verwundbarkeit wird seit dem 18.05.2012 als CVE-2012-2764 geführt. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind technische Details sowie ein privater Exploit zur Schwachstelle bekannt.
Für den Vulnerability Scanner Nessus wurde am 27.06.2012 ein Plugin mit der ID 59735 (Google Chrome < 20.0.1132.43 Multiple Vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet und im Kontext local ausgeführt.
Ein Aktualisieren auf die Version 20.0.1132.43 vermag dieses Problem zu lösen. Eine neue Version kann von google.com bezogen werden. Das Problem kann auch durch den Einsatz von Mozilla Firefox, Microsoft Internet Explorer, Opera als alternatives Produkt mitigiert werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Google hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (83251) und Secunia (SA49724) dokumentiert. Weiterführende Informationen auf Deutsch finden sich auf heise.de.CVSS
Base Score: 10.0 (CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Zugang: Privat
Nessus ID: 59735
Nessus Name: Google Chrome < 20.0.1132.43 Multiple Vulnerabilities
Nessus Family: Windows
Nessus Context: local
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Chrome 20.0.1132.43
Alternative: Mozilla Firefox, Microsoft Internet Explorer, Opera
Timeline
18.05.2012 | CVE zugewiesen
26.06.2012 | Hersteller bestätigt
26.06.2012 | Advisory veröffentlicht
26.06.2012 | Gegenmassnahme veröffentlicht
27.06.2012 | OSVDB Eintrag erstellt
27.06.2012 | Nessus Plugin veröffentlicht
27.06.2012 | VulDB Eintrag erstellt
21.12.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: 130276
Person: Moshe Zioni
Firma: Comsec Consulting
Koordiniert: Ja
OSVDB: 83251
CVE: CVE-2012-2764 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 49724
Heise: 1626827
Diverses: googlechromereleases.blogspot.de
