VulDB: Google Chrome bis 19.0.1084.57 auf Linux 64-bit XML libxml Pufferüberlauf
Allgemein
scipID: 5611
Betroffen: Google Chrome bis 19.0.1084.57
Veröffentlicht: 26.06.2012 (Jüri Aedla)
Risiko: 
kritisch
Eintrag: 91.2% komplett
Erstellt: 27.06.2012
Aktualisiert: 03.09.2012
Beschreibung
In Google Chrome bis 19.0.1084.57 (Linux 64-bit), ein Webbrowser, wurde eine kritische Schwachstelle gefunden. Davon betroffen ist eine unbekannte Funktion in der Bibliothek libxml der Komponente XML. Durch die Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 26.06.2012 durch Jüri Aedla als 129930 öffentlich gemacht. Bereitgestellt wird das Advisory unter code.google.com. Die Veröffentlichung passierte hierbei in Koordination mit Google. Die Verwundbarkeit wird seit dem 19.05.2012 als CVE-2012-2807 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Ein Aktualisieren auf die Version 20.0.1132.43 vermag dieses Problem zu lösen. Eine neue Version kann von google.com bezogen werden. Das Problem kann auch durch den Einsatz von Mozilla Firefox, Microsoft Internet Explorer, Opera als alternatives Produkt mitigiert werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Google hat demnach sofort reagiert. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (83266) dokumentiert. Das deutsche IT-Nachrichtenportal Heise berichtet ebenfalls über den Fall.CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Chrome 20.0.1132.43
Alternative: Mozilla Firefox, Microsoft Internet Explorer, Opera
Timeline
19.05.2012 | CVE zugewiesen
26.06.2012 | Hersteller bestätigt
26.06.2012 | Advisory veröffentlicht
26.06.2012 | Gegenmassnahme veröffentlicht
27.06.2012 | OSVDB Eintrag erstellt
27.06.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: 129930
Person: Jüri Aedla
Koordiniert: Ja
OSVDB: 83266
CVE: CVE-2012-2807 (mitre.org) (nist.org) (cvedetails.com)
Heise: 1626827
Diverses: googlechromereleases.blogspot.de
- Letzte Einträge
- EMC RSA Authentication API Encryption Key Information Disclosure
- Cisco Secure Access Control System Web Interface schwache Authentisierung
- Python ssl.match_hostname() Denial of Service
- Mozilla Firefox/Thunderbird nsContentUtils::RemoveScriptBlocker Pufferüberlauf
- Mozilla Firefox/Thunderbird nsFrameList::FirstChild Pufferüberlauf
- Statistiken
- Archiv
