VulDB: Google Chrome bis 19.0.1084.57 Matroska Container Pufferüberlauf
Allgemein
scipID: 5609
Betroffen: Google Chrome bis 19.0.1084.57
Veröffentlicht: 26.06.2012 (Jüri Aedla)
Risiko: 
kritisch
Eintrag: 89.5% komplett
Erstellt: 27.06.2012
Aktualisiert: 03.09.2012
Beschreibung
Eine kritische Schwachstelle wurde in Google Chrome bis 19.0.1084.57, ein Webbrowser, entdeckt. Das betrifft eine unbekannte Funktion der Komponente Matroska Container. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 26.06.2012 durch Jüri Aedla als 132779 herausgegeben. Auf code.google.com kann das Advisory eingesehen werden. Eine Veröffentlichung wurde in Zusammenarbeit mit Google angestrebt. Die Verwundbarkeit wird seit dem 19.05.2012 mit der eindeutigen Identifikation CVE-2012-2834 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Ein Aktualisieren auf die Version 20.0.1132.43 vermag dieses Problem zu lösen. Eine neue Version kann von google.com bezogen werden. Das Problem kann auch durch den Einsatz von Mozilla Firefox, Microsoft Internet Explorer, Opera als alternatives Produkt mitigiert werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Google hat demnach sofort reagiert. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (83250) dokumentiert. Ein Bericht in deutscher Sprache wird mitunter durch Heise bereitgestellt.CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Chrome 20.0.1132.43
Alternative: Mozilla Firefox, Microsoft Internet Explorer, Opera
Timeline
19.05.2012 | CVE zugewiesen
26.06.2012 | Hersteller bestätigt
26.06.2012 | Advisory veröffentlicht
26.06.2012 | Gegenmassnahme veröffentlicht
27.06.2012 | OSVDB Eintrag erstellt
27.06.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: 132779
Person: Jüri Aedla
Koordiniert: Ja
OSVDB: 83250
CVE: CVE-2012-2834 (mitre.org) (nist.org) (cvedetails.com)
Heise: 1626827
Diverses: googlechromereleases.blogspot.de
