VulDB: Google Chrome bis 19.0.1084.57 XLS Handler erweiterte Rechte
Allgemein
scipID: 5610
Betroffen: Google Chrome bis 19.0.1084.57
Veröffentlicht: 26.06.2012 (Nicholas Gregoire)
Risiko: 
problematisch
Eintrag: 87.8% komplett
Erstellt: 27.06.2012
Aktualisiert: 03.09.2012
Beschreibung
Es wurde eine problematische Schwachstelle in Google Chrome bis 19.0.1084.57, ein Webbrowser, gefunden. Dies betrifft eine unbekannte Funktion der Komponente XLS Handler. Dank der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 26.06.2012 durch Nicholas Gregoire als 127417 publik gemacht. Das Advisory kann von code.google.com heruntergeladen werden. Die Veröffentlichung geschah dabei in Koordination mit dem Hersteller. Die Verwundbarkeit wird seit dem 19.05.2012 unter CVE-2012-2825 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Ein Upgrade auf die Version 20.0.1132.43 vermag dieses Problem zu beheben. Eine neue Version kann von google.com bezogen werden. Das Problem kann auch durch den Einsatz von Mozilla Firefox, Microsoft Internet Explorer, Opera als alternatives Produkt mitigiert werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Google hat demnach sofort reagiert. Auf Deutsch berichtet mitunter Heise zum Fall.CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Chrome 20.0.1132.43
Alternative: Mozilla Firefox, Microsoft Internet Explorer, Opera
Timeline
19.05.2012 | CVE zugewiesen
26.06.2012 | Hersteller bestätigt
26.06.2012 | Advisory veröffentlicht
26.06.2012 | Gegenmassnahme veröffentlicht
27.06.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: 127417
Person: Nicholas Gregoire
Koordiniert: Ja
CVE: CVE-2012-2825 (mitre.org) (nist.org) (cvedetails.com)
Heise: 1626827
Diverses: googlechromereleases.blogspot.de
- Letzte Einträge
- EMC RSA Authentication API Encryption Key Information Disclosure
- Cisco Secure Access Control System Web Interface schwache Authentisierung
- Python ssl.match_hostname() Denial of Service
- Mozilla Firefox/Thunderbird nsContentUtils::RemoveScriptBlocker Pufferüberlauf
- Mozilla Firefox/Thunderbird nsFrameList::FirstChild Pufferüberlauf
- Statistiken
- Archiv
