Google Chrome حتى 1.0.154.48 URI Handler Registration البرمجة عبر المواقع
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
الملخص
تم أيجاد ثغرة أمنية بصنف خطيرة. في Google Chrome حتى 1.0.154.48. تتأثر الوظيفة $software_function من المكون URI Handler Registration. عند التلاعب ينتج البرمجة عبر المواقع.
يتم تداول هذه الثغرة تحت اسم CVE-2007-3670. يمكن شن الهجوم عن بُعد. أيضًا، هناك استغلال متوفر.
يوصى بترقية العنصر المتأثر.
التفاصيل
تم أيجاد ثغرة أمنية بصنف خطيرة. في Google Chrome حتى 1.0.154.48. تتأثر الوظيفة $software_function من المكون URI Handler Registration. عند التلاعب ينتج البرمجة عبر المواقع. أستخدام الـ سي دبليو أي للأعلان عن المشكلة يؤدي إلى CWE-79. المشكلة تم نشرها بتاريخ 09/02/2009 بواسطة Thor Larholm مع Mozilla (موقع إلكتروني). الاستشارة متوفرة هنا sites.google.com.
يتم تداول هذه الثغرة تحت اسم CVE-2007-3670. تم إصدار CVE في 10/07/2007. يمكن شن الهجوم عن بُعد. لا يوجد شرح تقني متاح. هذه الثغرة شائعة أكثر من المعتاد. أيضًا، هناك استغلال متوفر. تم نشر تفاصيل الاستغلال للعامة وقد يُستخدم. يصرح مشروع MITRE ATT&CK بأن تقنية الهجوم هي T1059.007.
إذا وُجد إثبات المفهوم، فإنه يُصرح به كـ إثبات المفهوم. الاستغلال متاح للتنزيل عبر exploit-db.com. بلغ السعر التقديري لثغرة يوم الصفر في السوق السوداء حوالي $5k-$25k. يقدم أداة فحص الثغرات Nessus مكونًا إضافيًا يحمل رقم التعريف 28107. ينتمي إلى عائلة Ubuntu Local Security Checks. يعمل المكون الإضافي في سياق النوع l. هو يعتمد على المنفذ 0. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق165059 (SUSE Security Update for Mozilla Firefox, Mozilla Thunderbird, SeaMonkey (SUSE-SA:2007:049)).
النسخة الجديدة متوفرة الآن للتحميل من chrome.google.com. يمكنك تنزيل التصحيح من sites.google.com. يوصى بترقية العنصر المتأثر.
علاوة على ذلك، من الممكن اكتشاف ومنع هذا النوع من الهجمات باستخدام TippingPoint ومرشح 5467. في حال وجود عناصر في source_databases_list، فإن هذه الثغرة موثقة أيضًا في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 24837), X-Force (35346), Secunia (SA33800), SecurityTracker (ID 1018360) , Vulnerability Center (SBV-15653).
منتج
النوع
المجهز
الأسم
النسخة
- 1.0.154.0
- 1.0.154.1
- 1.0.154.2
- 1.0.154.3
- 1.0.154.4
- 1.0.154.5
- 1.0.154.6
- 1.0.154.7
- 1.0.154.8
- 1.0.154.9
- 1.0.154.10
- 1.0.154.11
- 1.0.154.12
- 1.0.154.13
- 1.0.154.14
- 1.0.154.15
- 1.0.154.16
- 1.0.154.17
- 1.0.154.18
- 1.0.154.19
- 1.0.154.20
- 1.0.154.21
- 1.0.154.22
- 1.0.154.23
- 1.0.154.24
- 1.0.154.25
- 1.0.154.26
- 1.0.154.27
- 1.0.154.28
- 1.0.154.29
- 1.0.154.30
- 1.0.154.31
- 1.0.154.32
- 1.0.154.33
- 1.0.154.34
- 1.0.154.35
- 1.0.154.36
- 1.0.154.37
- 1.0.154.38
- 1.0.154.39
- 1.0.154.40
- 1.0.154.41
- 1.0.154.42
- 1.0.154.43
- 1.0.154.44
- 1.0.154.45
- 1.0.154.46
- 1.0.154.47
- 1.0.154.48
الرخصة
موقع إلكتروني
- المجهز: https://www.google.com/
- منتج: https://www.google.com/chrome/
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 5.3VulDB الدرجة المؤقتة للميتا: 4.8
VulDB الدرجة الأساسية: 5.3
VulDB الدرجة المؤقتة: 4.8
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الفئة: البرمجة عبر المواقعCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
وصول: عام
الحالة: إثبات المفهوم
تحميل: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Nessus ID: 28107
Nessus الأسم: Ubuntu 6.06 LTS / 6.10 / 7.04 : mozilla-thunderbird vulnerabilities (USN-503-1)
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 835179
OpenVAS الأسم: HP StorageWorks Default Accounts and Directory Traversal Vulnerabilities
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍
Qualys ID: 🔍
Qualys الأسم: 🔍
Exploit-DB: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
ترقية: chrome.google.com
تصحيح: sites.google.com
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS النسخة: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
الجدول الزمني
10/07/2007 🔍10/07/2007 🔍
10/07/2007 🔍
10/07/2007 🔍
11/07/2007 🔍
22/07/2007 🔍
26/08/2007 🔍
10/11/2007 🔍
09/02/2009 🔍
09/02/2009 🔍
19/02/2009 🔍
20/10/2009 🔍
13/01/2025 🔍
المصادر
المجهز: google.comمنتج: google.com
استشارة: sites.google.com
باحث: Thor Larholm
منظمة: Mozilla
الحالة: مؤكد
تأكيد: 🔍
CVE: CVE-2007-3670 (🔍)
GCVE (CVE): GCVE-0-2007-3670
GCVE (VulDB): GCVE-100-3922
OVAL: 🔍
CERT: 🔍
X-Force: 35346
SecurityFocus: 24837 - Microsoft Internet Explorer and Mozilla Firefox URI Handler Command Injection Vulnerability
Secunia: 33800 - Google Chrome URI Handler Registration Vulnerability, Highly Critical
OSVDB: 59043 - Google Chrome Cross-browser Command Execution
SecurityTracker: 1018360 - Mozilla Firefox Bugs in URL Protocol Handlers Let Remote Users Execute Arbitrary Commands
Vulnerability Center: 15653 - Multiple Mozilla Browsers Installed on a System with Internet Explorer Cross-Browser Scripting, Medium
Vupen: ADV-2007-2473
scip Labs: https://www.scip.ch/en/?labs.20161013
اقرأ أيضاً: 🔍
إدخال
تم الإنشاء: 19/02/2009 05:08 PMتم التحديث: 13/01/2025 06:53 AM
التغييرات: 19/02/2009 05:08 PM (91), 17/04/2019 02:02 PM (17), 17/03/2021 07:57 AM (2), 11/01/2025 05:40 PM (15), 13/01/2025 06:53 AM (4)
كامل: 🔍
Cache ID: 216:BC0:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق