| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.4 | $0-$5k | 0.00 |
In Sony KD-65AF8 - die betroffene Version ist nicht bekannt - wurde eine problematische Schwachstelle ausgemacht. Betroffen ist eine unbekannte Verarbeitung der Komponente USB3 Device Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-404. Dies hat Einfluss auf die Verfügbarkeit. Die Zusammenfassung von CVE lautet:
** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.Die Schwachstelle wurde am 03.11.2020 durch Marc Ruef von scip AG öffentlich gemacht. Bereitgestellt wird das Advisory unter twitter.com. Die Veröffentlichung passierte hierbei ohne Koordination mit Sony. Die Verwundbarkeit wird seit dem 04.11.2020 als CVE-2020-28207 geführt. Sie ist leicht ausnutzbar. Der Angriff muss lokal angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1499 aus.
Ein privater Exploit wurde durch Marc Ruef umgesetzt. Er wird als proof-of-concept gehandelt.
Das Problem kann durch den Einsatz von als alternatives Produkt mitigiert werden.
Produkt
Hersteller
Name
CPE 2.3
CPE 2.2
CVSSv3
VulDB Meta Base Score: 4.6VulDB Meta Temp Score: 4.4
VulDB Base Score: 4.6
VulDB Temp Score: 4.4
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-404
ATT&CK: T1499
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔒
Zugang: Privat
Status: Proof-of-Concept
Autor: Marc Ruef
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: AlternativeStatus: 🔍
0-Day Time: 🔒
Timeline
03.11.2020 Advisory veröffentlicht03.11.2020 VulDB Eintrag erstellt
04.11.2020 CVE zugewiesen
01.12.2020 VulDB letzte Aktualisierung
Quellen
Advisory: twitter.comPerson: Marc Ruef
Firma: scip AG
Status: Bestätigt
CVE: CVE-2020-28207 (🔒)
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 03.11.2020 11:19Aktualisierung: 01.12.2020 21:34
Anpassungen: (2) source_cve_assigned source_cve_nvd_summary
Komplett: 🔍
Kommentare
Do you need the next level of professionalism?
Upgrade your account now!
Bisher keine Kommentare. Sprachen: . Bitte loggen Sie sich ein, um kommentieren zu können.