VulDB: Google Chrome fino 19.0.1084.57 PDF buffer overflow
Generale
scipID: 5602
Componente colpito: Google Chrome fino 19.0.1084.57
Data di pubblicazione: 26/06/2012 (Mateusz Jurczyk)
Rischio: 
critico
Voce: 90.3% completa
Data di creazione: 27/06/2012
Ultimo aggiornamento: 03/09/2012
Riassunto
Un punto critico di livello critico è stato rilevato in Google Chrome fino 19.0.1084.57. Da questa vulnerabilità è interessato una funzione sconosciuta del componente PDF. Mediante la manipolazione di un input sconosciuto per mezzo di una vulerabilità di classe buffer overflow. Questo agisce su riservatezza, integrità e disponibilità.
La vulnerabilità è stata pubblicata in data 26/06/2012 da Mateusz Jurczyk da Google Security Team con identificazione 129857. L’advisory è scaricabile da code.google.com. La pubblicazione è avvenuta in collaborazione con il produttore. Questo punto di criticità è identificato come CVE-2012-2828. Dalla rete può partire l’attacco. Per l’uso non è richiesta un’autentificazione. Non sono a disposizione dettagli tecnici e metodo d’utilizzo.
L’aggiornamento alla versione 20.0.1132.43 elimina questa vulnerabilità. L’aggiornamento è scaricabile da google.com. Il problema può essere attenuato rimpiazzando il componente con Mozilla Firefox, Microsoft Internet Explorer, Opera come alternativa. Il miglior modo suggerito per attenuare il problema è aggiornamento all’ultima versione. Una possibile soluzione è stata pubblicata immediatamente dopo la pubblicazione della vulnerabilità. La vulnerabilità è documentata anche nei database OSVDB (83240).CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Classe: Buffer overflow
Locale: No
Remoto: Si
Disponibilità: No
Contromisure
Raccomandazione: Upgrade
Reaction Time: 0 giorni dalla segnalazione
0-Day Time: 0 giorni dalla scoperta
Exposure Time: 0 giorni dalla pubblicazione
Upgrade: Chrome 20.0.1132.43
Alternative: Mozilla Firefox, Microsoft Internet Explorer, Opera
Timeline
19/05/2012 | CVE assegnato
26/06/2012 | Riconosciuto di produttore
26/06/2012 | Pubblicazione advisory
26/06/2012 | Pubblicazione contromisura
27/06/2012 | OSVDB voce creata
27/06/2012 | VulDB voce creata
03/09/2012 | VulDB voce aggiornata
Fonti
Advisory: 129857
Riceratore: Mateusz Jurczyk
Azienda: Google Security Team
Coordinato: Si
OSVDB: 83240
CVE: CVE-2012-2828 (mitre.org) (nist.org) (cvedetails.com)
Varie: googlechromereleases.blogspot.de
