| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 6.3 | $0-$5k | 0.00 |
الملخص
ثغرة أمنية مصنفة على أنها خطيرة تم أيجادها في Adobe Flash. المشكلة أثرت على دالة غير معروفة من العنصر Sandbox. عند التلاعب في إطار Whitespace ينتج تجاوز الصلاحيات. بالإضافة إلى ذلك، يتوفر استغلال. يُنصح بترقية المكون المتأثر.
التفاصيل
ثغرة أمنية مصنفة على أنها خطيرة تم أيجادها في Adobe Flash. المشكلة أثرت على دالة غير معروفة من العنصر Sandbox. عند التلاعب في إطار Whitespace ينتج تجاوز الصلاحيات. عند استخدام CWE لتحديد المشكلة، سيتم التوجيه إلى CWE-451. تم نشر الضعف 27/09/2016 بواسطة Leone Pontorieri كـ Mailinglist Post (Full-Disclosure). يمكن تحميل الاستشارة من هنا seclists.org.
لا تتوفر معلومات تقنية. معدل انتشار هذه الثغرة أقل من المعدل العام. بالإضافة إلى ذلك، يتوفر استغلال. تم الكشف عن الاستغلال للعامة وقد يتم استخدامه. مشروع ميتري اتاك يصنف اسلوب الهجوم هذا على انه T1566.003.
إذا تم تحديد إثبات المفهوم، فإنه يُعلن كـ إثبات المفهوم. الإكسبلويت يمكن تحميلها من هناt seclists.org. لكونها ثغرة هجوم فوري متوسط سعرها كان$25k-$100k. إذا كان Flash has never fixed these issues and local-with-filesystem sandbox can be optionally enabled, by editing a configuration file. So, Flash still contains the vulnerable piece of code, but it can be exploited only if an uncommon setting is enabled. In this way, these vulnerabilities are “frozen” in the code and their fate is to be reproduced in every future version of Adobe Flash, but it seems unrealistic to use those again in a real world scenario. غير فارغ، فإن التنويه يلفت الانتباه إلى:
Flash has never fixed these issues and local-with-filesystem sandbox can be optionally enabled, by editing a configuration file. So, Flash still contains the vulnerable piece of code, but it can be exploited only if an uncommon setting is enabled. In this way, these vulnerabilities are “frozen” in the code and their fate is to be reproduced in every future version of Adobe Flash, but it seems unrealistic to use those again in a real world scenario.
يُنصح بترقية المكون المتأثر. جاء في التحذير ما يلي:
Like a lot of love stories, the one between Flash and local files is over. Local-with-filesystem sandbox has today, after a decade, been killed by Adobe, making (almost) obsolete those Flash files using that feature.
منتج
النوع
المجهز
الأسم
الرخصة
موقع إلكتروني
- المجهز: https://www.adobe.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 7.3VulDB الدرجة المؤقتة للميتا: 6.3
VulDB الدرجة الأساسية: 7.3
VulDB الدرجة المؤقتة: 6.3
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
استغلال
الفئة: تجاوز الصلاحياتCWE: CWE-451
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
وصول: عام
الحالة: إثبات المفهوم
المؤلف: Leone Pontorieri
تحميل: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
زمن الهجوم الفوري: 🔍
وقت تأخير الاستغلال: 🔍
الجدول الزمني
27/09/2016 🔍27/09/2016 🔍
29/09/2016 🔍
27/04/2019 🔍
المصادر
المجهز: adobe.comاستشارة: seclists.org
باحث: Leone Pontorieri
الحالة: غير معرفة
GCVE (VulDB): GCVE-100-92245
scip Labs: https://www.scip.ch/en/?labs.20161013
اقرأ أيضاً: 🔍
إدخال
تم الإنشاء: 29/09/2016 03:45 PMتم التحديث: 27/04/2019 06:19 PM
التغييرات: 29/09/2016 03:45 PM (48), 27/04/2019 06:19 PM (2)
كامل: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق