Cairo bis 1.15.14 WebKitGTK+ cairo-rectangular-scan-converter.c _cairo_image_spans_and_zero Pufferüberlauf

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
6.4$0-$5k0.15

In Cairo bis 1.15.14 wurde eine kritische Schwachstelle entdeckt. Es geht um die Funktion _cairo_image_spans_and_zero der Datei cairo-rectangular-scan-converter.c der Komponente WebKitGTK+. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-119. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

cairo through 1.15.14 has an out-of-bounds stack-memory write during processing of a crafted document by WebKitGTK+ because of the interaction between cairo-rectangular-scan-converter.c (the generate and render_rows functions) and cairo-image-compositor.c (the _cairo_image_spans_and_zero function).

Gefunden wurde das Problem am 08.10.2018. Die Schwachstelle wurde am 08.10.2018 (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter gitlab.freedesktop.org. Die Verwundbarkeit wird seit dem 08.10.2018 als CVE-2018-18064 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten (Preisberechnung vom 31.03.2020).

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Produktinfoedit

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 6.4
VulDB Meta Temp Score: 6.4

VulDB Base Score: 6.3
VulDB Temp Score: 6.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 6.5
NVD Vector: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfoedit

Klasse: Pufferüberlauf
CWE: CWE-119
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍

Timelineinfoedit

08.10.2018 🔍
08.10.2018 +0 Tage 🔍
08.10.2018 +0 Tage 🔍
08.10.2018 +0 Tage 🔍
09.10.2018 +1 Tage 🔍
31.03.2020 +539 Tage 🔍

Quelleninfoedit

Advisory: gitlab.freedesktop.org
Status: Nicht definiert

CVE: CVE-2018-18064 (🔍)

Eintraginfoedit

Erstellt: 09.10.2018 08:36
Aktualisierung: 31.03.2020 16:51
Anpassungen: (1) vulnerability_discoverydate
Komplett: 🔍

Kommentare

Might our Artificial Intelligence support you?

Check our Alexa App!