Sony KD-65AF8 USB3 Device Denial of Service

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.4$0-$5k0.00

In Sony KD-65AF8 - die betroffene Version ist nicht bekannt - wurde eine problematische Schwachstelle ausgemacht. Betroffen ist eine unbekannte Verarbeitung der Komponente USB3 Device Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-404. Dies hat Einfluss auf die Verfügbarkeit.

Die Schwachstelle wurde am 03.11.2020 durch Marc Ruef von scip AG öffentlich gemacht. Bereitgestellt wird das Advisory unter twitter.com. Die Veröffentlichung passierte hierbei ohne Koordination mit Sony. Die Verwundbarkeit wird als CVE-2020-28207 geführt. Sie ist leicht ausnutzbar. Der Angriff muss lokal angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.

Ein privater Exploit wurde durch Marc Ruef umgesetzt. Er wird als proof-of-concept gehandelt.

Das Problem kann durch den Einsatz von als alternatives Produkt mitigiert werden.

Produktinfo

Hersteller

Name

CPE 2.3info

CPE 2.2info

CVSSv3info

VulDB Meta Base Score: 4.6
VulDB Meta Temp Score: 4.4

VulDB Base Score: 4.6
VulDB Temp Score: 4.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Denial of Service
CWE: CWE-404
ATT&CK: Unbekannt

Lokal: Ja
Remote: Nein

Verfügbarkeit: 🔍
Zugang: Privat
Status: Proof-of-Concept
Autor: Marc Ruef
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Alternative
Status: 🔍

0-Day Time: 🔍

Timelineinfo

03.11.2020 🔍
03.11.2020 +0 Tage 🔍
04.11.2020 +0 Tage 🔍
01.12.2020 +27 Tage 🔍

Quelleninfo

Advisory: twitter.com
Person: Marc Ruef
Firma: scip AG
Status: Bestätigt

CVE: CVE-2020-28207 (🔍)
scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 03.11.2020 11:19
Aktualisierung: 01.12.2020 21:34
Anpassungen: 03.11.2020 11:19 (34), 03.11.2020 11:20 (15), 04.11.2020 08:28 (1), 01.12.2020 21:34 (2)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you know our Splunk app?

Download it now for free!